SIMカードに脆弱性が発見される。悪用するとSIMカードの乗っ取りが可能に 15
ストーリー by hylom
クローン携帯の技術的可能性 部門より
クローン携帯の技術的可能性 部門より
Wingard 曰く、
古い暗号化技術(DES)が使われているSIMカードにおいて、なりすましや乗っ取りが可能なセキュリティ上の脆弱性が存在すると、ドイツのSecurity Research Labs創設者のKarsten Nohl氏が指摘している(マイナビニュース)。SIMカードを乗っ取ることで電話のタダがけや通話/SMSの傍受などが行える可能性がある。
同氏によれば、SIMカードに対してSMSによるテキストメッセージを送信するだけで、2分程度で乗っ取りが可能だという。また、全世界の8分の1の携帯電話がこれに該当するという。
なお、最新のSIMでは暗号化アルゴリズムにトリプルDES(DES3)以上の規格が採用されているため、この脆弱性は影響しない模様。
DESは無罪? (スコア:0)
DESの脆弱性かと思って読んだけど、
DES関係無いよね?
DESからトリプルDESに切り換えた時、
同時に通信方式も一部変更した。
その変更前の通信方式に脆弱性があった
って認識であってる?
だとすると最後の段落がおかしい。元記事もだけど。
Re:DESは無罪? (スコア:3, 参考になる)
通信方式じゃなく、ファームが大馬鹿だったと云う話。
タレコミじゃ無く、記事のリンク先のリンク先の英文だと、DESを使ってるSIMカードの1/4に、偽造SMSを送るとエラー応答に(一応暗号化された)ファーム更新に使えちゃう固有IDを入れちゃう間抜けな実装がされてたそうな。
で、今なら、DESはさっくり解読出来るんで、ファームを書き換える事も簡単て話みたい。
で、根本問題は、DESでも通信方式でもなく、SIMのファームにあるから、何が安全で何が危険かは不明。
でもって、3DESは安全なんて、英文記事には書いてない。
ただ、DES版でも、専用OSを採用して、別途エラー応答IDを用意してあるから、影響無いと、あるSIMメーカは主張してるとか。
//毎度ながら、日本語情報の信頼性の無さは泣けるなぁ
-- Buy It When You Found It --
このコメントは忘れてください (スコア:0)
違うソース参照してたみたい。
#おかしいな、タレコミのリンク辿ったはずなのに
Re: (スコア:0)
あれ
俺、さっきから同じコメントを何度も読んでいる気がするのに
この辺りまで読むと何書いてあったか忘れちゃうんだ。
健忘症かな…
(W)CDMAは例外? (スコア:0)
アタックに脆弱なバックドアがあったってこと?
GSMの話みたいなので、(GSMは日本では使われれていない)
あまり日本のシステムにDESが使われている話を聞かないし。
日本ぢゃあ関係ないよね。
とおもったらローミングできる機種もあるから全く無関係ではない?
でもそれはAirI/Fだけ互換性があればいいわけだし。
うん、古いタイプのGSM規格SIMに脆弱性があったと、
それは日本では使われていない。これでいいのかな。
Re:(W)CDMAは例外? (スコア:4, 参考になる)
DESを未だに使って、あるいは最近まで使ってSIMカードを発行していたオペレーターが存在しているってことです (英語版WikipediaのSIMカードの項 [wikipedia.org])。SIMカード自体がGSMのものがベースというだけで、通信方式には関係ないと思います。携帯電話の一般的な業界団体がGSMAです (ドコモ、KDDI、SBMは加盟しているとのこと [appbank.net])。
DES代替となる3DESの発表が1998年、AESが2001年なので、時期的にFOMA初期のものが該当しそうですが、結構交換されているのでどれだけ残っていることか。ドコモは色で区別でき [wikipedia.org]、青SIMは今の端末では使えないそうです。ソフトバンクモバイルは事業者ロゴで区別できますね。何れにせよオペレーターの発表待ちですし、広く知られた攻撃方法でもないので、交換してもらえればいいだけでしょう。
Re: (スコア:0)
こういうときだけ日本の携帯はガラパゴスでほんとうによかったと思います
Re: (スコア:0)
AES以前は、3DESが米国外への暗号輸出の問題で使用できないとか、
DESより強い暗号がありながら互換性をとってあえてDESで実装してた時代もあったような
まぁ独自実装で3DESやってたとかはありそうだが。
Re: (スコア:0)
B-CASみたいに書き換えて本来有料のサービスが無料で使えるようになったってこと?
クローン (スコア:0)
数年前に話題になったクローン携帯ってのもあったね。
この手の話は表面化しないだけで、実際に日本でもいろいろ複製SIMとかあるような気がする。
Re: (スコア:0)
裁判までやってたけど、その結果がニュースになって無い時点で、察せよ。
ムーの読者か何かなのか?
Re: (スコア:0)
あったね、
娘のケータイ使用料が異常に高いからって奴。
使用していない証明に
「コインロッカーに数週間だか一ヶ月だか入れてた」のにやはり使用料が異常に発生したと主張してた。
コインロッカーってそんな長期間入れれるんかと嘲笑って見てた。
まあまあまあ (スコア:0)
SIMカード乗っ取られたらガラポンもスマフォも関係ないわな。
いや、ガラポンの方が後から対策打つの難しくないか?
もうこれ、マルウェアどころの騒ぎじゃないだろ?
推定しやすいメルアドの古いガラポンはもはや打つ手ないだろ?
鯖側でSMSブロックするしかないよね?
いい機会だからもうみんなスマフォに乗り換えたらいいんじゃないかな。
Re: (スコア:0)
ガラポンて何よ
バカ用語は理解できねえっす
Re:まあまあまあ (スコア:1)
ガラポンで画像検索してみた。 [google.co.jp]