2013年8月6日 星期二

Black Hat 2013:加密技術DES漏洞 全球7.5億支手機受影響

Black Hat 2013:加密技術DES漏洞 全球7.5億支手機受影響

行動安全是近年來黑帽(Black Hat)大會的熱門議題,在日前舉辦的Black Hat 2013上,德國行動安全專家Karsten Nohl公佈最近研究結果,手機SIM卡加密技術DES(Data Encryption Standard)存在一個嚴重漏洞,駭客可藉此控制使用者手機並竊取資料,預估受影響的手機數量達7.5億台。

Nohl進一步指出,駭客利用DES加密技術的漏洞可取得並修改SIM卡上的數位金鑰(digital key),接著發送簡訊病毒來感染手機,之後就能竊聽手機、及竊取手機上的所有訊息與資料,甚至可以透過手機購買商品並完成付費。Nohl表示,他使用一般電腦在短短2分鐘內就能控制1台手機。

DES技術始於1970年,過往曾經被廣泛使用,之後具有較強加密機制的三重D.E.S.(Triple D.E.S.)技術問市,使得許多營運商轉而採用三重D.E.S技術,但DES技術並未消失,市場上仍有許多SIM卡採用舊技術。根據Nohl在過去兩年測試結果來看,歐洲與北美區的SIM卡仍有高達1/4使用DES加密技術(其測試樣本數為1000個),因此他預估全球約有7.5億支手機受到影響。

Nohl已經將研究結果提供給全球移動通訊系統協會(Global System for Mobile Communications Association,GSMA),同時建議GSM協會和晶片製造商應該採用更好的過濾技術以阻擋惡意訊息。此外,他也建議營運商使用新的D.E.S.加密技術,而使用者目前所使用的SIM卡如果超過3年以上,也最好向其營運商更換新的SIM卡。

Nohl為某個位於柏林的安全研究實驗室(Security Research Lab)的創辦人,他在Black Hat 2013只公佈了研究細節,並沒有揭露哪些營運商使用的SIM卡有風險,不過他正在研究比較各家營運商SIM卡的安全性,並預計在今年底於德國漢堡舉辦的Chaos Communication Congress上公布。

轉載自《資安人科技網》