image

'Consument machteloos tegenover sim-hacker'

woensdag 24 juli 2013, 12:03 door Redactie, 6 reacties

Er is weinig dat consumenten kunnen doen tegenover hackers die simkaarten kraken, aldus de Duitse beveiligingsonderzoeker die een gapend gat in de beveiliging van honderden miljoenen simkaarten ontdekte. Karsten Nohl lukte het om de zwakke encryptie in de simkaarten te kraken en zo een kwaadaardige Java-applet op de simkaart te installeren.

Dit Java-applet kan sms-berichen versturen, voicemail-nummers wijzigen en de locatie van de gebruiker aan de aanvaller doorgeven. Volgens Nohl, die zijn bevindingen tijdens de Blackhat Conferentie in Las Vegas zal demonstreren, biedt dit genoeg mogelijkheden voor misbruik. Het gaat dan zowel om financiële fraude als surveillance.

Fraude en surveillance
"Het ergste scenario dat ik voorzie is dat criminelen genoeg informatie verkrijgen om miljoenen kaarten in een land te hacken", laat Nohl tegenover RT weten. "De grootste dreiging op korte termijn als criminelen deze aanvalsmethode weten uit te voeren is fraude. Ze zullen de kaarten misbruiken om sms-berichten naar premiumnummers te sturen."

Een andere mogelijkheid is het onderscheppen van mobiele TANcodes in landen waar die gebruikt worden. De andere mogelijkheid is het onderscheppen en decoderen van alle stem- en datacommunicatie die via de telefoon in kwestie loopt, bijvoorbeeld door een surveillance team, aldus de Duitse hacker.

Simkaart
Consumenten die zich zorgen maken kunnen weinig doen, behalve wachten totdat telecomaanbieders de beveiliging van hun netwerk aanscherpen. In het geval misbruik toch plaatsvindt adviseert Nohl consumenten om een nieuwe simkaart aan te vragen. De kwetsbaarheid die Nohl ontdekte is in 750 miljoen mobiele telefoons aanwezig.

Reacties (6)
24-07-2013, 19:46 door steve sh1t
Ik roep altijd "Google devs 4 world domination yo!". Maar als ik dit zo lees blijkt het dat de java devs this worldz ownen.

Anyway mij maakt het geen klap uit wie deze wereld domineert zolang het maar niet van die twitterende politici zijn.
24-07-2013, 20:36 door TD-er
Maar hoe krijg je zo'n java programmaatje op een SIM?
Via die onmerkbare SMS-jes die van de week in 't nieuws waren?
Lijkt me nog lastig om dat op grote schaal te misbruiken, want dan zal het toch via de netwerken van de providers verstuurd moeten worden en dus te filteren. (door de providers)
24-07-2013, 21:17 door Anoniem
Op mijn telefoons gebeuren ook rare dingen,zoals blue screen bij bepaalde netwerkselectie,geen ontvangstbevestiging meer krijgen na verzenden sms.Nog niet zo heel lang geleden kreeg ik een schijnbaar leeg smsje van een een nummer uit Rusland of Oekraine.Ik ken daar niemand dus ik vermoedt dat dit een hacker is geweest.Mijn tip: smsjes en mmsjes van onbekende en anonieme nummers niet openen en niet beantwoorden,ook geen telefoontjes van anonieme of onbekende (buitenlandse) nummers accepteren.Zet het betreffende nummer in de blokkadelijst van je gsm.
25-07-2013, 08:49 door Killjoy
Hebben ze dan geen fysieke toegang tot je simkaart nodig??

edit: blijkbaar niet, moet ik maar doorlezen.
25-07-2013, 12:13 door Anoniem
Door TD-er: Lijkt me nog lastig om dat op grote schaal te misbruiken, want dan zal het toch via de netwerken van de providers verstuurd moeten worden en dus te filteren. (door de providers)

Providers moeten SMS berichten doorlaten. Daar betalen de klanten voor. Inzetten van firewalls (op basis van welke gegevens) wordt dan heel lastig. Die firewalls moeten de SMS-jes vervolgens analyseren. Zie je het volgende DPI schandaal al langskomen?

Peter
25-07-2013, 14:01 door TD-er
Door Anoniem:
Door TD-er: Lijkt me nog lastig om dat op grote schaal te misbruiken, want dan zal het toch via de netwerken van de providers verstuurd moeten worden en dus te filteren. (door de providers)

Providers moeten SMS berichten doorlaten. Daar betalen de klanten voor. Inzetten van firewalls (op basis van welke gegevens) wordt dan heel lastig. Die firewalls moeten de SMS-jes vervolgens analyseren. Zie je het volgende DPI schandaal al langskomen?

Peter
Mee eens dat DPI ook niet wenselijk is.
Ik ken de technische achtergrond niet van dergelijke SMS-jes, maar ik meen mij te herinneren dat er een verschil was tussen SMS-jes die gebruikers onderling naar elkaar sturen (en die dus op je toestel verschijnen) en de berichten die de provider verstuurt om het netwerk operationeel te houden.
Het lijkt mij wel degelijk mogelijk om dergelijke berichten te onderscheiden en als ze niet van de provider zelf afkomstig zijn dat ze dan gefilterd zouden kunnen worden.
Blijft natuurlijk de ethische vraag of je als provider ongevraagd mag filteren.
Wat je zou kunnen doen is het als service aanbieden, vergelijkbaar met spamfiltering.
Of het dan een opt-in of opt-out filter moet worden zou ik niet durven zeggen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.