22 de jul de 2013

Risco aos celulares "Nós nos tornamos o cartão SIM ': 750 milhões de telefones celulares podem ser cortados em um minuto

 Tempo Publicado em: 21 de julho de 2013 19:34
Tempo Editado: 22 de julho de 2013 07:20
Little way of knowing if your SIM card is in danger. (AFP Photo)
Pouco maneira de saber se o cartão SIM está em perigo. (AFP Photo)
Até 750 milhões de telefones celulares em todo o mundo carregam cartões SIM que contêm uma falha de programação que pode deixar seus proprietários vulneráveis ​​à fraude.  O bug permite que um hacker acesse remotamente dados pessoais e autorizar transações ilegais em poucos minutos.
União Internacional de Telecomunicações da ONU está a  enviar um alerta a todas as operadoras de telefonia móvel depois de ser presenteada com evidências "muito significativas" de uma falha de projeto do renomado alemão  de código-breaker Karsten Nohl.
O bug afeta o cartão SIM, a placa de circuito de plástico que contém os dados do usuário de telefone chave, que é considerado a parte mais segura do telefone, e não foi hackeado de forma semelhante em uma década. Ao descobrir a chave de criptografia exclusiva de cada cartão SIM com apenas uma mensagem de texto oculto, Nohl é capaz de obter o controle remoto completo do telefone de um indivíduo.
"Nós nos tornamos o cartão SIM. Nós podemos fazer qualquer coisa que os usuários de telefones normais podem fazer", Nohl disse à Reuters. "Se você tiver um número MasterCard ou PayPal dados no telefone, nós temos isso também."
A falha pode ser explorada tanto por fraude financeira e para a fiscalização.
"Podemos instalar remotamente o software em um aparelho que opera de forma totalmente independente do seu telefone. Sabemos que as suas chaves de criptografia para chamadas.  Mais do que apenas espionagem, que pode roubar dados do cartão SIM, a sua identidade móvel, e cobrar a sua conta ", Nohl explicou ao New York Times.
" Karsten Nohl  de 31 anos quebra em sistemas de segurança, explorando suas vulnerabilidades e, em seguida, apresenta seus resultados para as empresas, esperando que corrigir os problemas antes que eles são identificados por criminosos.
'Hackers éticos' Karsten Nohl
Karsten Nohl
Nohl diz que sua equipe havia sido em vão a tentativa de violar os cartões SIM desde 2011, com over-the-air-programação (OTA) - mensagens de texto invisíveis que são enviados pela operadora de telefonia móvel para alterar as configurações no telefone de um usuário dentro de sua rede .
Nós tínhamos quase desistido da idéia de quebrar o uso mais amplamente implantado de criptografia padrão", admitiu Nohl, que diz que o cartão SIM adulteração é o "Santo Graal" para qualquer hacker.
No final, a falha foi encontrada por acidente.
Nohl notei que quando ele tentou enviar determinados comandos incorretos OTA, ele receberia uma mensagem de erro que também continha o código de criptografia exclusiva pertencentes a esse telefone - sua chave virtual. O código foi facilmente decifrados - Nohl diz que o processo leva um minuto.Com o telefone agora à sua disposição, ele poderia comandá-la para fazer qualquer coisa a partir de seu próprio computador, sem que o usuário nunca suspeitar que havia algo errado.
O erro não foi encontrado em todos os cartões SIM testado - Nohl pesquisou mais de mil -, mas ele estima que ela está presente em cerca de um quarto de cartões SIM que usam criptografia de dados um padrão de segurança que está a ser eliminada padrão (DES), mas é ainda usado em cerca de 3 bilhões de telefones ativos. É por isso que Nohl estima que 750 milhões de usuários pode estar em perigo.  Além do mais, não há nenhuma maneira fácil para um proprietário do cartão SIM DES para identificar se o seu telefone é suscetível.
O especialista em segurança  diz que as autoridades já  foram informadas em particular sobre suas descobertas através de um processo chamado de "divulgação responsável", e acredita que terá hackers seis meses para repetir a façanha, dando fabricantes uma vantagem. Nohl vai detalhar seu no-break em um Black Hat, uma conferência de hackers, que começa em Las Vegas no final de julho.
  Enquanto as principais empresas lançaram declarações reconhecendo a falha, e dizendo que eles estão trabalhando para erradicá-la, as autoridades pediram calma entre os usuários comuns, observando que nenhum dano criminoso parece ter sido feito até agora.
"Isso não é o que os hackers estão focados. Isso não parece ser algo que eles estão explorando", assegurou João Marinho, vice-presidente de Tecnologia e Segurança Cibernética na CTIA, principal grupo da indústria móvel dos EUA.
Mas quaisquer que sejam os riscos imediatos, a ONU é menos otimista.
Estes resultados mostram-nos onde poderíamos estar caminhando em termos de riscos de segurança cibernética", secretário-geral da UIT, Hamadoun Touré, disse à Reuters.
http://rt.com
Reações:

0 comentários:

Postar um comentário