手機SIM卡存嚴重安全性漏洞？ 7.5億手機受威脅

&HTTP://www.aliyun.com/zixun/aggregation/37954.html">nbsp;    據《紐約時報》報導，德國一位移動安全專家日前透露， 其發現了手機SIM卡安全加密技術上的一處漏洞，駭客利用該漏洞可對使用者電話進行控制並構成網路犯罪。      德國柏林的「安全研究實驗室」創始人卡斯滕·諾爾(Karsten Nohl)表示，SIM卡上的該加密漏洞允許駭客獲取SIM的數位金鑰——一個56位的數位序列， 駭客利用該金鑰可打開SIM卡晶片並對之進行修改。      諾爾還稱，當他獲得該金鑰後，可通過一條文本短信向該SIM卡使用者發送病毒，致使駭客能夠監聽使用者來電、通過移動支付系統購物，甚至以手機主人身份對外通話。 諾爾稱，通過SIM卡漏洞搞定一個使用者需約兩分鐘時間，而且僅需一台簡單的個人電腦。 他估計約有高達7.5億手機可能受到攻擊。      「我們可以通過遠端方式在你的手機上安裝間諜軟體，與你的手機完全獨立運作。 」諾爾表示，「我們可以監視你。 我們知道你通話的加密鍵。 我們可以閱讀你的短消息。 我們並不僅僅能夠監聽你的電話，我們還可以竊取你的SIM資料，甚至是你的移動身份和你的帳戶裡的資金。 」     諾爾稱，他所發現的SIM卡加密漏洞之所以存在，是因為這些SIM卡加密使用了一種上世紀70年代提出、被稱為「資料加密標準」（data encryption standard，簡稱為「D.E . S.」 ）的加密方法。 發現該漏洞後，他通過兩年時間，在運行于歐洲和北美移動網路上的1000部手機的SIM卡進行了普遍性研究（當然，這些手機和SIM卡均屬於他本人和他的研究團隊成員所有）。 諾爾稱，研究發現大約有四分之一的SIM卡仍運行了存在安全性漏洞的老的加密技術。      據悉，當前全球日常使用的手機大約有六十億部，其中大約一半手機都採用了「D.E.S.」 加密技術。 在過去的十年時間裡，大多數運營商開始採用一種被稱為「三維D.E.S」、保密性更強的加密方法，但許多運營商仍舊在使用老標準。 加密是為了掩飾SIM卡，使每部手機都擁有獨特的數位簽章。      GSM協會發言人克雷爾克雷爾·克蘭頓(Claire Cranton)在一份聲明中表示，「我們已經考慮到此事後果，並指導這些網路運營商和SIM供應商考慮可能會受到的影響。 」她補充說，很可能只有少數手機使用了「易受攻擊」的老標準。      克蘭頓對於諾爾估計「將有7.5億部手機潛在受到攻擊的可能」的評論拒絕置評，並表示在拉斯維加斯黑帽大會作出評估之前，GSM協會不會對此進行評論。      荷蘭大型SIM供應商Gemalto表示，GSM協會已向該公司通知了關於諾爾的初步發現；此外，德國SIM卡製造商Giesecke & Devrient公司也表示，其已「 分析了這一攻擊方案」。          諾爾表示，他曾建議GSM協會和晶片製造商使用更好的過濾技術來阻止類似攻擊。 他建議運營商逐步淘汰使用「D.E.S.」、轉而使用新的加密技術的SIM卡片。 他還補充說，當消費者使用的SIM卡超過三年時間後，運營商應該給使用者更換新的SIM卡。      Giesecke & Devrient公司在一份聲明中說，它已從2008年開始逐步淘汰使用「D.E.S.」 加密技術的SIM卡。 這家德國公司表示，它們的SIM卡使用了獨特的作業系統，甚至使用了「D.E.S.」 加密技術，也不會出現諾爾所述的那種「身份驗證代碼消息」的情況。