Nieuws

'Consument machteloos tegenover sim-hacker'

woensdag 24 juli 2013, 12:03 door Redactie, 6 reacties

Er is weinig dat consumenten kunnen doen tegenover hackers die simkaarten kraken, aldus de Duitse beveiligingsonderzoeker die een gapend gat in de beveiliging van honderden miljoenen simkaarten ontdekte. Karsten Nohl lukte het om de zwakke encryptie in de simkaarten te kraken en zo een kwaadaardige Java-applet op de simkaart te installeren.

Dit Java-applet kan sms-berichen versturen, voicemail-nummers wijzigen en de locatie van de gebruiker aan de aanvaller doorgeven. Volgens Nohl, die zijn bevindingen tijdens de Blackhat Conferentie in Las Vegas zal demonstreren, biedt dit genoeg mogelijkheden voor misbruik. Het gaat dan zowel om financiële fraude als surveillance.

Fraude en surveillance
"Het ergste scenario dat ik voorzie is dat criminelen genoeg informatie verkrijgen om miljoenen kaarten in een land te hacken", laat Nohl tegenover RT weten. "De grootste dreiging op korte termijn als criminelen deze aanvalsmethode weten uit te voeren is fraude. Ze zullen de kaarten misbruiken om sms-berichten naar premiumnummers te sturen."

Een andere mogelijkheid is het onderscheppen van mobiele TANcodes in landen waar die gebruikt worden. De andere mogelijkheid is het onderscheppen en decoderen van alle stem- en datacommunicatie die via de telefoon in kwestie loopt, bijvoorbeeld door een surveillance team, aldus de Duitse hacker.

Simkaart
Consumenten die zich zorgen maken kunnen weinig doen, behalve wachten totdat telecomaanbieders de beveiliging van hun netwerk aanscherpen. In het geval misbruik toch plaatsvindt adviseert Nohl consumenten om een nieuwe simkaart aan te vragen. De kwetsbaarheid die Nohl ontdekte is in 750 miljoen mobiele telefoons aanwezig.

'10% thuisnetwerken bevat malware'

'Alle Nederlanders slimme meter voor 2020'

Reacties (6)

24-07-2013, 19:46 door steve sh1t

Ik roep altijd "Google devs 4 world domination yo!". Maar als ik dit zo lees blijkt het dat de java devs this worldz ownen.

Anyway mij maakt het geen klap uit wie deze wereld domineert zolang het maar niet van die twitterende politici zijn.

24-07-2013, 20:36 door TD-er

Maar hoe krijg je zo'n java programmaatje op een SIM?
Via die onmerkbare SMS-jes die van de week in 't nieuws waren?
Lijkt me nog lastig om dat op grote schaal te misbruiken, want dan zal het toch via de netwerken van de providers verstuurd moeten worden en dus te filteren. (door de providers)

24-07-2013, 21:17 door Anoniem

Op mijn telefoons gebeuren ook rare dingen,zoals blue screen bij bepaalde netwerkselectie,geen ontvangstbevestiging meer krijgen na verzenden sms.Nog niet zo heel lang geleden kreeg ik een schijnbaar leeg smsje van een een nummer uit Rusland of Oekraine.Ik ken daar niemand dus ik vermoedt dat dit een hacker is geweest.Mijn tip: smsjes en mmsjes van onbekende en anonieme nummers niet openen en niet beantwoorden,ook geen telefoontjes van anonieme of onbekende (buitenlandse) nummers accepteren.Zet het betreffende nummer in de blokkadelijst van je gsm.

25-07-2013, 08:49 door Killjoy

Hebben ze dan geen fysieke toegang tot je simkaart nodig??

edit: blijkbaar niet, moet ik maar doorlezen.

25-07-2013, 12:13 door Anoniem

Door TD-er: Lijkt me nog lastig om dat op grote schaal te misbruiken, want dan zal het toch via de netwerken van de providers verstuurd moeten worden en dus te filteren. (door de providers)

Providers moeten SMS berichten doorlaten. Daar betalen de klanten voor. Inzetten van firewalls (op basis van welke gegevens) wordt dan heel lastig. Die firewalls moeten de SMS-jes vervolgens analyseren. Zie je het volgende DPI schandaal al langskomen?

Peter

25-07-2013, 14:01 door TD-er

Door Anoniem:

Door TD-er: Lijkt me nog lastig om dat op grote schaal te misbruiken, want dan zal het toch via de netwerken van de providers verstuurd moeten worden en dus te filteren. (door de providers)

Mee eens dat DPI ook niet wenselijk is.
Ik ken de technische achtergrond niet van dergelijke SMS-jes, maar ik meen mij te herinneren dat er een verschil was tussen SMS-jes die gebruikers onderling naar elkaar sturen (en die dus op je toestel verschijnen) en de berichten die de provider verstuurt om het netwerk operationeel te houden.
Het lijkt mij wel degelijk mogelijk om dergelijke berichten te onderscheiden en als ze niet van de provider zelf afkomstig zijn dat ze dan gefilterd zouden kunnen worden.
Blijft natuurlijk de ethische vraag of je als provider ongevraagd mag filteren.
Wat je zou kunnen doen is het als service aanbieden, vergelijkbaar met spamfiltering.
Of het dan een opt-in of opt-out filter moet worden zou ik niet durven zeggen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer