Til hovedinnhold
Nyhet

– Flere hundre millioner SIM-kort er sårbare

Men ditt er sannsynligvis trygt.

iStockPhoto/ra-photos/9295976
Finn Jarle Kvalheim

Vi er vant til at dingsene våre har stadige sikkerhetshull. For å holde problemer fra livet oppdaterer vi ofte, og er kanskje litt ekstra forsiktige – spesielt når en ny sikkerhetstrussel får stor oppmerksomhet. Men hva med tingene vi har som vi ikke uten videre har kontroll over? SIM-kortet er en slik ting, og nå er koden som kan gi tilgang på flere hundre millioner SIM-kort funnet. Sannsynligvis er svært få av dem fortsatt i bruk i Norge.

En tysk forsker har forsøkt å bryte den gamle DES-krypteringen i flere år. Standarden er gammel – den ble utviklet på 70-tallet, og den beskytter kommunikasjonen mellom operatøren og SIM-kortet. Med krypteringen unna veien står dørene åpne for de som måtte ønske det.

Les også: Slik blir ditt neste SIM-kort

Brøt GSM-kryptering i 2009

Forskeren, Karsten Nohl, er ikke helt ukjent. Han var blant annet med på å knekke aldrende kryptering i mobilnettet, for fire år siden. Ifølge Forbes begynte Nohl og teamet å se på SIM-kort og såkalt over-the-air-programmering.

Måten operatørene gjør endringer i disse kortene på, er ved å sende en kryptert melding med instruksjoner til dem. Dette går som en slags tekstmelding i nettverket, men den blir aldri synlig for deg som bruker – det er bare SIM-kortet som vet å nyttegjøre seg informasjonen i den.

Ved å bombardere 1000 simkort med sine egne slike meldinger, oppdaget Nohl at noen av dem sendte en feilmelding på grunn av manglende kryptering. Noen av disse feilmeldingene var også kryptert med samme nøkkel som brukes for å programmere kortene.

Åpner SIM-kortene på få minutter

Gjennom en dekrypteringsteknikk kalt "rainbow tables" kan Nohl hente ut nøkkelen som brukes til å styre SIM-kortene på få minutter. Med denne koden kan man for eksempel duplisere SIM-kortene, sende usynlige tekstmeldinger til kostbare tjenester, eller avlytte samtaler. På SIM-kort som har denne i tillegg til andre sårbarheter skal også ren betalingssvindel være mulig.

Det eneste fellestrekket mellom SIM-kortene som er utsatt for denne sårbarheten, skal være den gamle DES-krypteringen. Nyere SIM-kort bruker en annen standard, kjent som 3DES.

Nohl anslår at hele 750 millioner SIM-kort er sårbare for denne typen angrep. Omtrent halvparten av SIM-kortene som er i bruk i dag benytter den gamle krypteringen, og rundt en fjerdedel av dem kan være sårbare.

Informasjonssjef Knut Sollid i Telenor er trygg på at de ikke lenger har gamle SIM-kort igjen blant sine kunder.Foto: Telenor

Telenor: – Svært gamle SIM-kort

Her i Norge er det imidlertid ingen grunn til panikk, får vi forklart fra Telenor.

– Dette dreier seg om svært gamle SIM-kort som vi på nittitallet, forklarer informasjonssjef Knut Sollid i Telenor.

Sollid fortsetter med å forklare at forskeren har jobbet i løpende kontakt med GSM Association, og at Telenor har fulgt med på arbeidet.

– Vi har hatt anledning til å undersøke SIM-kortene våre, og ikke funnet noen som er sårbare for denne typen angrep, forklarer Sollid.

Charlotte Erikstad er kommunikasjonsrådgiver i NetCom og forklarer at operatøren nå vurderer om og hvilke tiltak som skal settes inn.Foto: NetCom

NetCom vurderer forebyggende tiltak

Også hos NetCom er de klar over utviklingen. Også der får vi bekreftet at dette skal dreie seg om svært tidlige SIM-kort, som for lengst er skiftet ut med mer avansert teknologi.

– Gamle SIM-kort har blitt byttet ut i stort tempo de siste årene, spesielt i takt med smarttelefonens økende popularitet i Norge. Det fins likevel et lite antall eldgamle SIM-kort i vårt nett, men disse sitter nok i eldre mobiler som brukes sjelden, sier kommunikasjonsrådgiver Charlotte Erikstad i NetCom i en e-post til Amobil.

Erikstad fortsetter med å forklare at TeliaSonera og NetCom nå vurderer om det er behov for forebyggende tiltak.

– Vi tar sårbarheten på alvor, men det er viktig å huske på at det gjelder et lite antall, svært gamle SIM-kort, sier Erikstad.

Ble produsert frem til 2008

Det er ikke veldig mange store selskaper som lager SIM-kort. De mest kjente er Oberthur, Gemalto og Giesecke & Devrient. Sistnevnte skal ifølge New York Times ha begynt å fase ut kortene med den gamle DES-krypteringen i 2008.

Den fullstendige informasjonen fra Nohls undersøkelser ikke er ute ennå. Den vil bli presentert under et foredrag om en ukes tid, på årets Black Hat-konferanse i Las Vegas.

Nohl planlegger også å slippe en rangering mellom operatørenes SIM-kortsikkerhet på et arrangement i Hamburg i Desember.

Hvis du har problemer med SIM-kortet ditt kan det være utslitt.
Les mer om hvorfor mobiler slutter å virke i denne artikkelen.

(Kilder: NetCom, Telenor, nytimes.com, forbes.com)

Les også
Velg riktig mobilabonnement
4. okt. 2013
Apple betaler giganterstatning til iPhone-eiere
29. mai 2013
Mobilbank overtar for nettbank
15. april 2013
Nye sikkerhetshull gjør låseskjermen ubrukelig igjen
22. mars 2013
Slik fungerer mobilbetaling med NFC
29. nov. 2012
Telenor løste SIM-problem med iPhone 5
28. sep. 2012
Mer om
BedriftDatasikkerhetMobilNetComTeknologiTelenor
annonse