ビデオ: ФРАНЦУЗСКИЕ АРТИКЛИ (часть 1) | ФРАНЦУЗСКИЙ ЯЗЫК (九月 2024)
ドイツの研究者によると、モバイルデバイスの一部のSIMカードで使用されている暗号化技術の欠陥を悪用してデバイスを制御することができます。
この脆弱性により、攻撃者はなりすましのテキストメッセージを送信して、対象の携帯電話のSIMカードで使用される56ビットのデータ暗号化標準(DES)キーを取得できます。ベルリンのセキュリティリサーチラボの創設者であるKarsten Nohlは、ニューヨークタイムズとフォーブスに語りました。 キーを手にすれば、攻撃者は悪意のあるソフトウェアをインストールし、デバイスでその他の悪質な操作を実行できます。 詳細は、今月後半にラスベガスで開催されるBlack Hatカンファレンスでの彼のプレゼンテーションで明らかになります。
現在使用されているSIMカードの約半分は、新しい、より安全なトリプルDESではなく、古いDES暗号化に依拠しているとノールは推測しています。 Nohlは2年間で、ヨーロッパと北米で1, 000枚のSIMカードをテストし、その4分の1が攻撃に対して脆弱であることがわかりました。 彼は、7億5, 000万台もの携帯電話がこの欠陥の影響を受ける可能性があると考えていました。
「電話番号を教えてください。数分後に、このSIMカードをリモートで制御し、さらにコピーを作成できるようになる可能性があります」と、ノールはフォーブスに語りました。
攻撃の説明
携帯通信会社は、課金目的でモバイルトランザクションを確認するためにテキストメッセージを送信できます。 デバイスは、デジタル署名に依存して、キャリアがメッセージを送信するものであることを確認します。 Nohlは、偽の署名を含む携帯通信会社からのふりをした偽のメッセージを送信しました。 DESを使用して携帯電話に送信されたメッセージの4分の3で、ハンドセットは偽の署名に正しくフラグを立て、通信を終了しました。 ただし、ケースの4分の1で、ハンドセットはエラーメッセージを送り返し、暗号化されたデジタル署名を遮断しました。 ノーブルはその署名からSIMのデジタルキーを引き出すことができたとフォーブスは報告した。
「SIMカードの異なる出荷には、あるかないかにかかわらず」と、ノールはフォーブスに語った。 「それは非常にランダムです」と彼は言いました。
SIMキーを手に入れると、Nohlは別のテキストメッセージを送信して、対象の電話機にソフトウェアをインストールし、プレミアムレートの番号へのテキストメッセージの送信、通話の傍受、着信通話のリダイレクトなど、さまざまな悪意のある活動を実行できます。フォーブスによると、他の番号、または支払いシステム詐欺を実行します。 Nohlは、攻撃自体はPCから実行するのに数分しかかからないと主張しました。
「私たちはあなたをスパイすることができます。通話の暗号化キーを知っています。SMSを読むことができます。SIMカードからデータを盗み、モバイルIDを盗み、アカウントに請求することができます。」ヨークタイムズ。
修正中ですか?
Nohlは、ロンドンに拠点を置くモバイル業界グループであるGSM Associationにすでに脆弱性を開示しています。 GSMAは、影響を受ける可能性のあるネットワークオペレーターとSIMベンダーに既に通知していました。 「古い基準に対して作成された少数のSIMSは脆弱である可能性がある」と同グループの広報担当者はニューヨークタイムズに語った。
国連グループの国際電気通信連合はロイターに対し、この研究は「非常に重要」であり、同グループは約200カ国の電気通信規制当局およびその他の政府機関に通知することになると語った。 ITUはモバイル企業、学者、その他の業界専門家にも手を差し伸べるとロイターは報告した。
脆弱性に関する情報が公開されたため、サイバー犯罪者は欠陥をクラックするのに少なくとも6ヶ月かかる可能性が高いと、ノールは述べています。 これにより、通信事業者とその他の無線通信事業者に修正を実装する時間が与えられます。
Nohl氏はForbesに対し、業界はより良いフィルタリングテクノロジーを使用して、なりすましメッセージをブロックし、DESを使用するSIMカードを段階的に廃止する必要があると語りました。 3年以上前にSIMカードを使用している消費者は、キャリアに新しいカード(トリプルDESを使用している可能性が高い)を要求する必要があります。
