'750 miljoen simkaarten slecht beveiligd'

De beveiliging van zo'n 750 miljoen simkaarten is dusdanig slecht dat er telefoons mee kunnen worden gehackt.

Dat vertelt een Duitse beveiligingsonderzoeker aan de New York Times. Hij publiceert in augustus zijn resultaten tijdens de Black Hat-hackersconferentie.

Karsten Nohl vond een zwakte in de zogenoemde DES-encryptie die veel oudere simkaarten gebruiken. Hij ontdekte hoe hij in een sms-bericht een virus naar de simkaart kon sturen, waarna hij gesprekken en sms'jes kon aftappen en gegevens van de telefoon kon stelen.

Van alle 6 miljard mobiele telefoons ter wereld gebruikt ongeveer de helft DES-versleuteling. Van 1000 DES-simkaarten die Nohl testte, viel ongeveer een kwart te hacken. Daarom vermoedt hij dat er wereldwijd zo'n 750 miljoen mobieltjes kwetsbaar zijn.

Nohl heeft de GSM Association, de branchevereniging van de mobiele industrie, op de hoogte gesteld. Ook verschillende makers van simkaarten, waaronder het Nederlandse Gemalto, hebben de resultaten van zijn studie onder ogen gekregen.

Foutmelding

De onderzoeker wist de encryptiesleutel van de simkaarten te achterhalen door eerst een sms'je te sturen dat zich voordeed als een bericht van een provider. 

Bij het ontvangen van zo'n bericht moeten het netwerk en de telefoon zichzelf verifiëren. Driekwart van de geteste simkaarten merkten dat het ging om een vals bericht en verbraken de connectie.

In een kwart van de gevallen stuurde de telefoon echter een foutmelding naar het namaaknetwerk, waaruit de encryptiesleutel te halen viel. Wie in het bezit is van die code, een nummer met 56 cijfers, kan inbreken in de simkaart.

Nieuwe technieken

Nohl adviseert mobiele netwerken om een poging te doen nep-sms'jes van hackers te filteren. Ook zegt hij dat providers beter kunnen overstappen op sim-kaarten die gebruik maken van nieuwere versleutelingstechnieken dan DES, dat al in de jaren '70 werd bedacht. 

Veel providers gebruiken tegenwoordig al zogenoemde 'Triple DES'-beveiliging. Nohl zegt niet welke providers goed en slecht scoorden in zijn test.

Lees meer over:
Tip de redactie