Sốc: SIM điện thoại cũng có thể bị hack
Thẻ SIM, phần được coi là tuyệt đối an toàn trên chiếc smartphone của bạn, có thể sẽ bị hack chỉ bằng một thao tác chạy sai phần mềm Java Card.
Điện thoại thông minh rất dễ bị nhiễm các phần mềm độc hại. Điều này ai cũng biết nhưng ít người biết rằng, thẻ SIM cũng có thể bị hack bởi nó hoạt động giống như một chiếc PC mini.
Sau khoảng 3 năm nghiên cứu, chuyên gia mật mã người Đức Karsten Nohl tuyên bố ông đã tìm ra lỗ hổng về phần mềm, có thể hack hàng triệu thẻ SIM, qua đó giám sát thiết bị di động hoặc thực hiện các hành vi gian lận.
Nohl - người sẽ trình bày phát hiện của mình tại Hội nghị bảo mật Black Hat tại Las Vegas vào ngày 31/7 - cho biết, ông là người đầu tiên tìm ra lỗ hổng trên SIM điện thoại, và đội ngũ của ông đã thử nghiệm gần 1.000 thẻ SIM khác nhau để cho ra công bố nói trên. Theo đó, lỗ hổng này cho phép hacker gửi một con virus từ xa, qua đó có thể hoàn toàn điều khiển thẻ SIM bằng các hoạt động như gửi tin nhắn, bí mật gọi lại hoặc ghi âm cuộc gọi, thậm chí thực hiện các hành vi thanh toán gian lận.
Đây sẽ là một vấn đề lớn đối với người dùng tại châu Phi, bởi thanh toán qua SIM là hình thức rất phổ biến tại đây.
Trong nghiên cứu của mình, Nohl cho biết chỉ khoảng 1/4 số lượng SIM anh tiến hành thử nghiệm có lỗ hổng. Nohl dự đoán, khoảng 1/8 lượng thẻ SIM phát hành ra toàn thế giới bị dính lỗ hổng nói trên - tương đương với khoảng 500 triệu thiết bị di động.
Các loại SIM trên thị trường hiện tại chủ yếu được phân phối bởi hai “ông lớn” là Oberthur Technology và Gemalto. Cả hai công ty này đều thu về những khoản lợi nhuận khổng lồ nhờ sự tăng trưởng mạnh mẽ của các thiết bị di động. Hai năm về trước, có khoảng một tỷ thẻ SIM trên toàn thế giới, nhưng con số này đã đạt mức 5 tỷ ở thời điểm hiện tại.
Vodafone từ chối trả lời câu hỏi của Forbes về mức độ mã hóa trên thẻ SIM của họ. Trong khi đó, cả Verizon và AT&T cho biết, họ đã biết đến nghiên cứu của Nohl, nhưng thẻ SIM của họ không hề vướng phải những lỗ hổng nói trên. “Hãy đưa cho tôi một số điện thoại bất kỳ và một vài phút sau, tôi có thể điều khiển thẻ SIM đó, thậm chí làm ra một bản copy của nó”, Nohl cho biết.
Thẻ SIM về cơ bản là một chiếc máy tính mini, có hệ điều hành riêng và phần mềm cài đặt sẵn. Nó được bảo vệ bởi một chuẩn mã hóa có tên là DES (Digital Encryption Standard) được phát minh ra vào năm 1970 bởi IBM và được cải tiến bởi NSA. Một vài nhà mạng lớn, như AT&T, đã không còn sử dụng chuẩn mã hóa cũ này nữa. Nohl cho biết, tất cả thẻ SIM anh có thể hack đều sử dụng chuẩn mã hóa cũ.
Gemalto - công ty đã thu về khoảng 2,5 tỷ USD lợi nhuận từ việc bán thẻ SIM - cho biết, thẻ SIM của họ hoàn toàn phù hợp với các hướng dẫn về bảo mật do nhà nước quy định, và rằng họ sẽ làm việc chặt chẽ với GSMA và các đơn vị khác để tìm hiểu về nghiên cứu của Nohl. Trong khi đó, CEO của Gegmalto - Olivier Piou - đã công khai nói rằng, không có bất cứ vấn đề gì về bảo mật trên các hình thức thanh toán di động, trong khi website của công ty này khẳng định, thẻ SIM của họ không thể bị hack.
Theo Infonet