750 triệu điện thoại có thể bị tấn công do lỗ hổng bảo mật SIM

Trang tin The Verge cho biết một chuyên gia nghiên cứu về bảo mật người Đức đã phát hiện ra một lỗ hổng trong mã hóa mà một số thẻ SIM điện thoại đang sử dụng có thể cho phép tin tặc kiểm soát điện thoại từ xa.

Lỗ hổng nói trên liên quan đến những thẻ SIM có sử dụng DES (Data Encryption Standard) để mã hóa. DES là một tiêu chuẩn cũ đang bị một số nhà sản xuất loại bỏ nhưng vẫn được hàng trăm triệu chiếc SIM sử dụng.

Karsten Nohl, người sáng lập của Hãng bảo mật Research Labs (Đức) đã phát hiện ra rằng việc gửi một tin nhắn giả danh nhà cung cấp đến một chiếc điện thoại có SIM sử dụng DES có thể gây ra một phản ứng tự động tiết lộ mã bảo mật của SIM. Với mật mã trong tay, Nohl có thể gửi virus vào SIM bằng một tin nhắn văn bản. Virus này cho phép anh mạo danh chủ sở hữu chiếc điện thoại, chặn tin nhắn văn bản và thậm chí thực hiện các hoạt động thanh toán. Nohl cho biết toàn bộ quá trình hack chỉ mất "khoảng hai phút" nếu sử dụng một máy tính thông thường.

Trong hai năm qua, Nohl đã thử nghiệm phương pháp của mình trên khoảng 1.000 thẻ SIM ở khắp Bắc Mỹ và châu Âu. Hiện nay, DES được sử dụng trong khoảng ba tỷ SIM điện thoại di động trên toàn thế giới. Nohl ước tính khoảng 750 triệu SIM trong số đó dễ bị tấn công theo phương pháp nói trên.

Hiện nay, nhiều nhà cũng cấp đã sử dụng SIM với công nghệ mạnh gấp 3 lần DES là AES (Advanced Encryption Standard). Những thẻ SIM dạng này không bị ảnh hưởng bởi phương pháp tấn công của Nohl.

Lỗ hổng mà Karsten Nohl phát hiện đã được thông báo cho GSMA, một hiệp hội gồm các nhà khai thác di động và các công ty trong lĩnh vực giám sát việc triển khai các hệ thống mạng GSM. Hiệp hội GSMA cũng đã liên hệ với các nhà sản xuất SIM và các công ty có liên quan để tìm cách đối phó tốt nhất.

Với sự "chịu trách nhiệm công bố thông tin", Nohl sẽ báo cáo chi tiết phương pháp tấn công của mình tại hội nghị bảo mật Black Hat diễn ra vào ngày 1/8 tới đây. Anh cũng có kế hoạch xuất bản một "danh sách so sánh" chi tiết về tính năng bảo mật thẻ SIM của các nhà cung cấp di động vào tháng 12. Hy vọng rằng các nhà khai thác sẽ thực hiện các bước cần thiết để vô hiệu hóa lỗ hổng này.

TQT