Len pred pár dňami sme ťa v našom článku informovali o bezpečnostnej chybe SIM kariet. Výskumníci z AdaptiveMobile Security totiž objavili existenciu chyby, ktorá môže výrazne ohroziť mobilné zariadenia a aj špehovať obete jednoduchým odoslaním SMS správy. Na akom princípe SIM karty fungujú a sú vôbec bezpečné?

Alza čelila masívnemu DDoS útoku, vypadol web aj aplikácia. Vieme, čo sa presne stalo

Hacker získal dáta podporovateľov Trumpa z Parler. Vytvoril z nich mapu útoku vo Washingtone

Operátori majú definitívne pridelené frekvencie pre 5G. Povinne ňou musia pokryť diaľnice aj železnice

Chyba, ktorá spôsobuje tieto problémy, dostala názov SimJacker. SIM karty majú v sebe zabudovaný softvér [email protected] Browser, ktorý umožňuje operátorom poskytovať základné služby. Takéto karty používajú operátori najmenej v 30 krajinách sveta. Problém sa vzťahuje aj na eSIM karty, ktoré sa nachádzajú vo vybraných smart hodinkách a smartfónoch.

Používateľ nič netuší

Na napadnutie SIM karty stačí okrem určitých znalostí vlastniť GSM model za približne 10 eur a spywarový kód, ktorý vydá pokyn karte, aby vykonávala zadané príkazy. Útočník sa dokáže takýmto spôsobom dostať k informáciám ako IMEI číslo, aktuálna poloha zariadenia, jazykové nastavenia či úroveň nabitia batérie.

Modifikácie SimJacker-a umožňujú napríklad šíriť rôzne SMS správy v mene obete, vytáčať rôzne telefónne čísla, ktoré sú spoplatnené vysokými sadzbami, otvárať vopred určené webové stránky, no dôjsť môže aj k úplnému vyradeniu SIM karty.

AdaptiveMobile Security dokonca uvádza, že nemenovaná spoločnosť, ktorá pomáha vládam sledovať jednotlivcov, používa metódu SimJacker najmenej 2 roky. SimJacker vznikol pravdepodobne ako priama náhrada za útoky na mobilné siete. Tie totiž operátori začali zabezpečovať, čo sa však o SIM kartách povedať nedá. Špecifikácie SIM kariet neboli inovovaná približne od roku 2009.

Čo to vlastne SIM karta je a ako funguje?

Subscriber Identity Module alebo SIM karta je identifikačná karta, ktorá slúži na identifikáciu účastníka v mobilnej sieti. Na SIM karte je uložené číslo IMSI, ktoré jednoznačne identifikuje účastníka na celom svete. IMSI sa však nepoužíva ako telefónne číslo.

SIM karty sú najčastejšie využívané v sieti GSM, no tiež aj v sieťach UMTS alebo iDEN. SIM karta obsahuje aj pamäť pre uloženie SMS, telefónnych čísiel a aplikácií, ako napríklad SIM Toolkit. SIM karta tiež ukladá ďalšie špecifické údaje, ako sériové číslo karty, názov mobilného operátora, PIN kód a PUK kód.

Môžeme ju charakterizovať ako mikropočítač, ktorý vykonáva operácie nad dátami, ktoré sú v SIM uložené. Skladá sa z CPU, ROM, RAM, EEPROM a vstupno-výstupných obvodov. Pre komunikáciu s externým zariadením sa využíva 5 vodičov (kontaktov). Ide o dátový vodič (DATA), napájací vodič (Vcc), kontakt Reset (Res), kontakt na vodič hodinového signálu (CLK) a uzemňovací vodič (GND). Nepripojené zostávajú dva kontakty označované C4 a C8, ktoré bývajú rezervované na ich neskoršie využitie.

SIM karty sú dnes v rozvinutých krajinách spravidla UICC, ktoré obsahujú aplikáciu SIM a aplikáciu USIM. Táto konfigurácia je potrebná, nakoľko staršie telefóny GSM sú výlučne kompatibilné s aplikáciou SIM a niektoré bezpečnostné vylepšenia UMTS sa spoliehajú na aplikáciu USIM.

Novodobá eSIM a jej výhody

eSIM alebo aj Embedded-SIM môžeme nazvať integrovanou kartou SIM. Karta je napevno zabudovaná v útrobách napríklad smartfónu. Telefónne číslo si však aj napriek tomu môže používateľ kedykoľvek zmeniť a zariadenie kedykoľvek predať alebo iným spôsobom posunúť ďalej.

eSIM funguje na základe používateľských profilov. To znamená, že ak si používateľ kúpi zariadenie, ktorého sa po pár mesiacoch bude chcieť zbaviť, nebude s tým žiadny problém. Používateľský profil je možné kedykoľvek zo zariadenia vymazať pomocou prideleného QR kódu.

Výhodu eSIM karty je absencia fyzického slotu pre vkladanie SIM karty. Ďalšou výhodou je zjednodušenie procesov pri prípadnej strate smartfónu či iného zariadenia alebo pri výmene mobilného operátora. eSIM karty podporujú viaceré značky, medzi ktorými je aj americký výrobca Apple.

Hrozieb je viacero

Útočníci, ktorým ide o poškodenie svojej obete, prípadne aj o obohatenie sa, majú v zálohe viacero možností, ako sa dostať k tvojim údajom. Okrem už spomínaného problému SimJacker je veľkým strašiakom prepojenie tvojho konta s telefónnym číslom.

Reč je hlavne o konte na sociálnych sieťach. Odborníci varujú, aby ľudia pri zakladaní konta na niektorej zo sociálnych sietí neuverejňovali svoje telefónne čísla. Už vôbec nie je dobré zadávať svoje telefónne číslo do svojho profilu. Útočníci sa takýmto spôsobom môžu dopracovať k tvojmu účtu, ktorý dokážu napadnúť a zneužiť.

Hackeri sa zameriavajú hlavne na účty, ktoré spravujú kryptomeny, no podľa portálu vice.com existujú prípady zneužitia účtov na Amazone, Ebay, PayPal, Netflixe či Hulu, čo môže viesť aj k strate finančných prostriedkov.

Ako sa chrániť?

Výrobcovia smartfónov či samotní používatelia nemajú žiadnu možnosť, ako sa proti útokom typu SimJacker brániť. Zodpovednosť je na strane operátorov, ktorí musia zabezpečiť dôslednú ochranu vlastných sietí, aby k prípadným útokom nedochádzalo. Dôležitá je aj modernizácia špecifikácií samotných SIM kariet a úprava ich komunikácie.

Pomôže aj používanie lepších SIM kariet, ktoré používajú najmodernejšiu kryptografiu s dostatočne dlhými kľúčmi. Podľa portálu srlabs.de je ďalšou možnosťou brána firewall priamo v telefóne. Používateľ by tak mal možnosť rozhodnúť sa, ktorým zdrojom SMS správ bude dôverovať a ktorých sa zbaví. Firewall SMS by sa zaoberal aj inými scenármi zneužitia, vrátane takzvanej „tichej SMS“.

Tretím riešením je filtrovanie SMS v sieti. To je už ale otázka na operátorov, ktorí by mohli takéto riešenie zabezpečiť. Vzdialení účastníci sa spoliehajú na mobilné siete pri doručovaní škodlivých SMS z a do telefónov svojich obetí. Pomocou filtrovania by sa takéto SMS nedostali k žiadnemu používateľovi a boli by jednoducho zmazané.

Jedným zo základných prvkov ochrany tvojej SIM karty by však mal byť dostatočne silný PIN kód. Číselné kombinácie ako „0000“ či „1111“ naozaj nie sú dobrým riešením, a preto je dôležité nad zabezpečením aspoň trochu porozmýšľať.

To isté sa týka aj ďalších tvojich účtov, ktoré môžu byť pre útočníkov zaujímavé. Ide predovšetkým o bankové aplikácie, sociálne siete či rôzne ďalšie účty, ktoré používaš na internete.

V tomto článku sa môžeš dozvedieť, aké heslá určite nie je dobré používať, lebo sa nachádzajú na zozname tých najpoužívanejších a najčastejšie hacknutých.