Bir güvenlik araştırmacısı bazı SIM kartlarında kullanılan güvenlik algoritmasında açık keşfetti. Söz konusu açığın bir telefonun kontrolünün korsanlar tarafından uzaktan ele geçirmesine imkan tanıyabileceği belirtildi. Açık DES (Veri Kriptolama Standardı) gibi bazı üreticilerin kullanmayı bıraktıkları eski bir şifreleme standardını kullanan kartları etkiliyor. Ne var ki, DES ile kriptolanmış birçok yüz milyonlarca SIM kart hâla kullanılmaya devam ediliyor.
Security Research Labs adlı bir Alman şirketin kurucusu olan Karsten Nohl bir telefona sahte operatör mesajı göndermenin DES SIM kartların yüzde 25’inin içinde kartın 56 bitlik güvenlik anahtarını da içeren otomatik mesajı geri dönmesine yol açtığını belirledi. Elde edilen bu anahtar sayesinde Nohl sadece bir yazılı mesaj kullanarak SIM karta virüs göndermeyi başardı. Virüs sayesinde Nohl telefonun sahibini taklit etme, yazılı mesajları okuma ve hatta mobil ödeme sistemini kullanma gibi imkanlara erişti. The New York Times’ın konuyla ilgili haberine göre tüm bu işlem normal bir PC ile yalnızca iki dakika gibi kısa bir zamanda gerçekleştirilebiliyor.
Nohl geçen iki yıl boyunca bulduğu yöntemi Kuzey Amerika ve Avrupa’da 1000 civarında SIM kart üzerinde denedi ve başarıya ulaştı. DES dünya çapında üç milyar civarında SIM kartın içinde yer alıyor ve Nohl’un tahminlerine göre de 750 milyon kullanıcı şu anda tehdit altında. Birçok mobil operatör üçlü DES olarak adlandırılan daha kuvvetli bir şifreleme standardında geçiş yapıyor. Nohl’un yöntemi daha kuvvetli kriptolama standardıyla korunan kartları etkilemiyor. DES de yerini genel olarak AES’e (Gelişmiş Kriptolama Standardı) bırakıyor.
Güvenlik açığıyla ilgili olarak dünya çapında GSM ağlarının kurulumu konusunda faaliyet gösteren mobil operatörler ve diğer şirketler tarafından kurulan GSMA’ye bilgi verilmiş. GSMA konunun içinde yer alan SIM kart üreticilerine ve diğer şirketlere konuyla ilgili bilgi vermiş.
Nohl yöntemini 1 Ağustos tarihinde ABD’nin Las Vegas şehrinde düzenlenecek BlackHat güvenlik konferansında anlatacak. Araştırmacı önümüzdeki aralık ayında her bir mobil operatörün SIM kart güvenlik durumunu karşılaştırmalı liste olarak yayınlamayı planlıyor.
İlgili >> The New York Times
Teknoblog’u X, Flipboard, Google Haberler ve Instagram‘da takip et!
