sexta-feira, 26 de julho de 2013

Operadoras e fornecedoras decidiram colaborar para a resolução da falha, que pode ser corrigida da mesma forma que pode ser explorada: através de uma atualização OTA



Nohl descobriu que era possível ludibriar a segurança dos SIM cards e levá-los a revelarem uma chave de criptografia Data Encryption Standard (DES) de 56 bits, passível de ser decifrada por qualquer computador. Segundo o pesquisador, enviando-se uma atualização falsa de software OTA, os cartões enviavam uma notificação de erro de código com a chave.Um problema de segurança em SIM cardsidentificado pelo pesquisador Karsten Nohl, da Security Labs Research será fácil de resolver, de acordo com o mesmo especialista. A vulnerabilidade afeta milhões, mas será simples de corrigir pelas operadoras que já estão colaborando com os fabricantes de SIM cards.
Segundo Nohl, meio bilhão de celulares - independente da marca - podem estar vulneráveis, com base em uma amostra de mil SIM cards em uso por várias operadoras da Europa analisadas pelo pesquisador.
Mas o problema de criptografia fraca e o erro do envio do código com a chave pode ser corrigido da mesma forma que pode ser explorado: por meio de uma atualização OTA.
Em certos SIM cards vulneráveis é possível desligar a criptografia DES e ligar a Triple DES, mais recente e mais segura. Os usuários sequer saberão que os seus celulares foram atualizados.
Frequentemente os operadores enviam atualizações "invisíveis" para as pessoas, utilizando os códigos SMS especiais para alterar, por exemplo, as configurações de roaming. As operadoras também podem fazer uma correção fundamental nos seus centros de SMS, preparados para processar todas as mensagens.
Os códigos SMS com atualizações de software são muito específicos. Por isso as operadoras podem ajustar seus firewalls para só permitirem o envio dos códigos que tiverem origem nos seus servidores, sugere Nohl.
O especialista apontou ainda que, dado o número de operadoras afetadas, o seu laboratório entrou em contato com a GSMA para fornecer detalhes da pesquisa e a Associação, por sua vez, emitiu alertas e recomendações.

0 comentários:

Postar um comentário

Subscribe to RSS Feed Follow me on Twitter!