Manu Pitkänen
2. elokuuta, 2013 15:15
Saksalaisessa Security Research Labs -yhtiössä työskentelevä Karsten Nohl paljasti heinäkuun lopulla haavoittuvuuden puhelimissa käytettävissä SIM-korteissa. Arviolta 750 miljoonaa puhelinta koskenut haavoittuvuus sai operaattoreihin vipinää ja muutamat isot operaattorit ovat jo ehtineet korjata ongelman.
Haavoittuvuudessa oli kyse yksinkertaistetusti sanottuna siitä, että tietyt DES-salausta käyttävät kortit vastasivat lähetettyihin allekirjoitettuihin viesteihin sähköisesti allekirjoitetulla vastauksella, jonka avulla on mahdollista selvittää salausavain. Salausavainta käyttämällä voidaan kortille asentaa haitallista koodia, joka mahdollistaa puheluiden ja tekstiviestien reitittämisen sekä puhelu- ja datauyhteyksien avaamisen.
Black Hat -konferenssissa haavoittuvuutta esitellut Nohl kertoi muutaman suuren operaattorin korjanneen ongelmaan. Kalliiseen SIM-korttien vaihtoruljanssiin ei lähdetty, vaan operaattorit käyttivät Nohlin havaitsemaa Java-aukkoa hyväksi asentaakseen korjauskoodin SIM-korteille.
Suomessa haavoittuvia SIM-kortteja on käytössä Cert-fin mukaan vähän. Haavoittuvuuden alttiit kortit on myönnetty vuosina 2001–2007.