비디오: [íì´í¸ë³´ë]ê°ìí íê²½ì ì¤í ë¦¬ì§ âIP SANâì ì ííë ì´ì (십월 2024)
독일 연구원에 따르면 모바일 장치의 일부 SIM 카드에서 사용하는 암호화 기술의 결함으로 인해 장치를 제어 할 수 있습니다.
이 취약점으로 인해 공격자는 스푸핑 된 문자 메시지를 보내 대상 전화의 SIM 카드에 사용되는 56 비트 DES (데이터 암호화 표준) 키를 얻을 수 있습니다. 베를린 보안 연구소의 설립자 인 Karsten Nohl는 New York Times and Forbes에 말했습니다. 공격자는이 키를 사용하여 악성 소프트웨어를 설치하고 장치에서 기타 악의적 인 작업을 수행 할 수 있습니다. 자세한 내용은 이번 달 말 라스 베이거스에서 열린 블랙 햇 컨퍼런스에서 발표되는 동안 공개 될 예정입니다.
Nohl 씨는 현재 사용중인 SIM 카드의 약 절반이 새롭고보다 안전한 트리플 DES가 아니라 이전 DES 암호화에 의존하고 있다고 Nohl 씨는 추정했다. 2 년 동안 Nohl은 유럽과 북미에서 1, 000 개의 SIM 카드를 테스트했으며 그 중 1/4이 공격에 취약한 것으로 나타났습니다. 그는이 결함으로 7 억 5 천만 대의 전화가 영향을받을 수 있다고 믿었습니다.
"전화 번호를 알려 주시면 몇 분 후에이 SIM 카드를 원격으로 제어하고 복사 할 수있는 가능성이 있습니다"라고 Nohl은 Forbes에게 말했습니다.
공격 설명
이동 통신사는 결제 목적으로 및 모바일 거래를 확인하기 위해 문자 메시지를 보낼 수 있습니다. 장치는 디지털 서명을 사용하여 이동 통신사가 메시지를 보내는 사람인지 확인합니다. Nohl은 허위 서명을 포함하는 이동 통신사로부터 온 것으로 가장 한 가짜 메시지를 발송했습니다. DES를 사용하여 휴대폰으로 보낸 메시지의 4 분의 3에서 핸드셋이 가짜 서명을 올바르게 표시하고 통신을 종료했습니다. 그러나 1/4의 경우 핸드셋에서 오류 메시지를 다시 보냈고 암호화 된 디지털 서명이 포함되지 않았습니다. 놀스는 그 서명에서 SIM의 디지털 키를 도출 할 수 있었다고 포브스는보고했다.
놀은 포브스에게“SIM 카드의 다른 출하량은있을 수도 있고 없을 수도있다”고 말했다. "매우 랜덤하다"고 말했다.
Nohl은 SIM 키를 사용하여 대상 전화에 소프트웨어를 설치하기 위해 다른 문자 메시지를 보내 프리미엄 메시지 번호로 문자 메시지 보내기, 전화 도청, 수신 전화 재전송 등의 광범위한 악의적 활동을 수행 할 수 있습니다. Forbes에 따르면 다른 번호, 또는 지불 시스템 사기를 수행하기도합니다. Nohl은 공격 자체가 PC에서 수행하는 데 몇 분 밖에 걸리지 않았다고 주장했다.
"우리는 당신을 감시 할 수있다. 우리는 통화를위한 암호화 키를 알고있다. 우리는 당신의 SMS를 읽을 수있다. 단순히 감시하는 것 이상으로 SIM 카드의 데이터를 도용하고, 모바일 신원을 확인하고, 귀하의 계정으로 청구 할 수있다"고 Nohl은 말했다. 요크 타임즈.
진행 중입니까?
Nohl은 이미 런던에 본사를 둔 모바일 산업 그룹 인 GSM 협회에 대한 취약점을 공개했습니다. GSMA는 이미 영향을받을 수있는 네트워크 사업자와 SIM 공급 업체에 통보했습니다. 이 그룹의 대변인은“뉴욕 타임즈 (New York Times)에 말했다.
유엔 그룹 인 국제 전기 통신 연합 (International Telecommunications Union)은 로이터 통신에이 연구가 "거의 중요하다"고 말했으며이 단체는 거의 200 개국의 통신 규제 기관 및 기타 정부 기관에 통보 할 것이라고 밝혔다. 로이터 통신에 따르면 ITU는 모바일 회사, 학계 및 기타 업계 전문가들에게도 연락 할 것이라고한다.
Nohl 씨는 현재 취약성에 관한 정보가 공개되면서 사이버 범죄자들이 결함을 해결하는 데 최소 6 개월이 걸릴 것이라고 말했다. 이로 인해 통신 사업자와 나머지 무선 통신 사업자가 수정 사항을 구현할 시간을 갖게됩니다.
Nohl은 Forbes에 업계에서 더 나은 필터링 기술을 사용하여 스푸핑 된 메시지를 차단하고 DES를 사용하여 SIM 카드를 단계적으로 제거해야한다고 말했습니다. 3 세 이상의 SIM 카드를 사용하는 소비자는 이동 통신사에 새 카드 (예: 트리플 DES 사용)를 요청해야합니다.
