视频: Диакритические знаки во французском. Accent aigu, accent grave, accent circonflexe. Видеоурок 1. (十一月 2024)
一位德国研究人员发现,可以利用移动设备中某些SIM卡所使用的加密技术中的缺陷来控制该设备。
柏林安全研究实验室的创始人卡尔斯滕·诺尔(Karsten Nohl)告诉《纽约时报》和《福布斯》,该漏洞将使攻击者能够发送欺骗性文本消息,以获取目标手机的SIM卡所使用的56位数据加密标准(DES)密钥。 有了密钥,攻击者将能够在设备上安装恶意软件并执行其他有害操作。 更多细节将在本月晚些时候在拉斯维加斯举行的Black Hat会议上的演讲中透露。
Nohl估计,当今使用的SIM卡中约有一半仍依靠较旧的DES加密,而不是较新的和更安全的三重DES。 在两年的时间里,Nohl在欧洲和北美测试了1, 000张SIM卡,发现其中四分之一容易受到攻击。 他认为,多达7.5亿部手机可能会受到此漏洞的影响。
诺尔告诉福布斯:“给我任何电话号码,几分钟后,我就有机会远程控制该SIM卡,甚至复制它。”
攻击说明
运营商可以发送短信以进行计费和确认移动交易。 设备依靠数字签名来验证载体是发送消息的载体。 Nohl发出假冒来自移动运营商的虚假消息,其中包含虚假签名。 在使用DES发送到手机的四分之三的消息中,手机正确标记了虚假签名并终止了通信。 但是,在四分之一的情况下,手机回传了一条错误消息,并取消了其加密的数字签名。 据福布斯报道,Nohl能够从该签名中获取SIM卡的数字密钥。
诺尔对《福布斯》说:“不同数量的SIM卡出货量都有或没有。” 他说:“这是非常随机的。”
借助SIM卡,Nohl可以发送另一条短信,以在目标手机上安装软件,以执行各种恶意活动,包括将短信发送到高价号码,监听通话,将来电重定向至据《福布斯》报道,其他数字甚至进行支付系统欺诈。 诺尔声称袭击本身仅用了几分钟就可以从PC上进行。
“我们可以监视您。我们知道您的电话加密密钥。我们可以读取您的SMS。不仅可以监视,还可以窃取SIM卡中的数据,您的移动身份并向您的帐户收费,” Nohl告诉《新邮报》。纽约时报。
解决正在进行中?
Nohl已经向位于伦敦的移动行业组织GSM协会披露了该漏洞。 GSMA已通知可能受到影响的网络运营商和SIM供应商。 该组织的发言人告诉《纽约时报》:“按照旧标准生产的少数SIMS可能很脆弱。”
联合国组织国际电信联盟告诉路透社,这项研究“意义重大”,该组织将通知近200个国家的电信监管机构和其他政府机构。 据路透社报道,国际电联还将与移动公司,学者和其他行业专家联系。
诺尔说,由于有关漏洞的信息现已公开,网络犯罪分子可能至少需要六个月的时间才能破解该漏洞。 这将使运营商和其他无线运营商有时间实施修复程序。
诺尔告诉《福布斯》,业界应该使用更好的过滤技术来阻止欺骗性消息并使用DES淘汰SIM卡。 诺尔建议,使用超过三年的SIM卡的消费者应向运营商索取新卡(可能使用三重DES)。
