Falla nelle SIM, a rischio 750 milioni di telefonini

Una vulnerabilità consente di prendere il controllo di un cellulare senza che il proprietario se ne accorga.



[ZEUS News - www.zeusnews.it - 22-07-2013]

M sim falla

C'è una falla, nelle SIM dei telefoni cellulari, che può consentire a chi la sfrutta di eseguire da remoto diverse operazioni sul telefonino, senza che il proprietario se ne accorga.

A scoprire la vulnerabilità, conducendo test per due anni su circa 1.000 telefoni in USA ed Europa, è stato il ricercatore tedesco Karsten Nohl, fondatore di Security Research Labs, il quale rivelerà i dettagli del proprio lavoro durante la prossima Black Hat Conference.

Il problema riguarda quelle SIM che si affidano al vecchio algoritmo di cifratura DES per crittografare i comandi OTA (come gli aggiornamenti software) ricevibili via SMS "silenziosi" (ossia non segnalati all'utente) e consegnati direttamente alla SIM.

Il povero DES ha colpa fino a un certo punto: è un algoritmo ormai superato e per lo più soppiantato da AES; il guaio è che troppe SIM ancora vi si affidano.

Si calcola che tra i 600 e i 750 milioni di SIM (circa una su otto) utilizzino DES e, per questo motivo, siano vulnerabili all'attacco scoperto da Nohl.

Sondaggio
Le promozioni estive o natalizie per i cellulari:
Sono in genere molto convenienti
Preferisco quelle per le chiamate
Preferisco quelle per i messaggi
Non le considero convenienti
Non le ho mai utilizzate

Mostra i risultati (1268 voti)
Leggi i commenti (2)

Per sfruttare la falla occorre inviare un SMS binario al dispositivo da colpire; nonostante il comando inviato in questo modo non venga eseguito se non adeguatamente firmato, il messaggio d'errore che la SIM in molti casi restituisce permette di risalire alla chiave DES a 56 bit utilizzata per crittografare questo tipo di comunicazioni.

A questo punto la porta è aperta: si può quindi inviare un SMS firmato nella maniera corretta e scaricare un'applet Java sulla SIM; in tal modo si possono inviare SMS, cambiare i numeri delle caselle vocali, richiedere la posizione del telefono e operare su diverse altre funzioni. Inoltre, se la macchina virtuale Java non è completamente sicura (come capita in molti casi) è possibile espandere il proprio raggio d'azione uscendo dalla sandbox in cui l'applet gira.

Nohl suggerisce tre sistemi per ridurre il pericolo: adoperare SIM migliori, dotate di sistemi di sicurezza più avanzati; avere su ogni dispositivo un firewall che sia in grado di bloccare gli SMS silenziosi provenienti da fonti non affidabili; un sistema di filtraggio degli SMS applicato a livello di rete, per impedire che soggetti non autorizzati si spaccino per qualcuno che non sono.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 22)

MaXXX eternal tiare
Bè in realtà malware e keylogger esistono anche su osx e linux ma.. bisogna installarseli :D quindi a meno di installare di tutto e di più da fonti non ufficiali la vedo dura come ben spiegato da mda.
28-7-2013 14:57

mda
Cosa tu non capire io spiegare augh! Ciao
25-7-2013 18:39

Maary79
Ok, questa l'hai sparata, diciamo che fa ridere a patto che diamo per scontato che io l'abbia capita :lol: Comunque grazie per le informazioni. Leggi tutto
25-7-2013 18:34

mda
@Maary79 Il sistema di difesa OS passiva hanno tutti i Linux (salvo qualche eccezione rarissima) mentre quella attiva esiste di serie su Suse e specie Fedora e loro distribuzioni derivate (non saprei su Ubunto) mentre sulle altre bisogna scaricare il demone :twisted: apposito (curato dalla SNA -L'agenzia per la Sicurezza Nazionale... Leggi tutto
25-7-2013 18:09
Leggi gli altri 17 commenti nel forum Telefonia Mobile
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Come ti comporti quando ricevi una "bufala" via email?
A costo di cancellare anche avvisi potenzialmente veri, straccio tutto appena arriva.
Li leggo e inoltro solo quelli che ritengo potenzialmente veri, ma all'atto pratico non me ne curo.
Inoltro quelli veri e ne seguo le indicazioni.
Ma quali bufale? Ho appena vinto 1.000.000 di euro rispondendo a una email.
Io stesso ho messo in circolazione qualche bufala.

Mostra i risultati (3402 voti)
Settembre 2025
n. 3987 del 03-09-2025
WinToUSB trasforma una chiavetta USB in un sistema Windows perfettamente funzionante
n. 3986 del 01-09-2025
Meta accede a tutto il rullino fotografico senza permesso. Ma disattivare si può: ecco come
Agosto 2025
n. 3985 del 28-08-2025
Google, stop all'obbligo di usare Gmail per gli account Android
n. 3984 del 27-08-2025
Browser IA, l'allarme di Malwarebytes: ingannare gli assistenti e rubare dati è fin troppo semplice
n. 3983 del 26-08-2025
Lo script che estende gli aggiornamenti di sicurezza di Windows 10 anche senza account Microsoft
n. 3982 del 25-08-2025
La Danimarca saluta la posta cartacea: la consegna delle lettere terminerà alla fine dell'anno
n. 3981 del 21-08-2025
PayPal, allarme sicurezza: i dati di 15,8 milioni di account in vendita sul dark web
n. 3980 del 19-08-2025
Volkswagen, microtransazioni nelle auto: per utilizzare tutti i cavalli bisogna abbonarsi
n. 3979 del 18-08-2025
Windows 11 24H2, dopo l'aggiornamento i dischi scompaiono. E i dati possono corrompersi
n. 3978 del 14-08-2025
Microsoft fagocita GitHub: fine dell'indipendenza dopo sette anni. Futuro nella IA
n. 3977 del 12-08-2025
Chiede a ChatGPT come sostituire il sale, finisce in ospedale con una malattia di cent'anni fa
n. 3976 del 11-08-2025
Windows 2030, addio a mouse e tastiera: farà tutto la IA
n. 3975 del 08-08-2025
La bolla finanziaria degli LLM
n. 3974 del 06-08-2025
WhatsApp senza account: arrivano le Guest Chat per comunicare da "anonimi"
n. 3973 del 03-08-2025
La pittura al grafene che sostituisce i caloriferi e consuma il 40% in meno
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 3 settembre
2024
Super God Mode rivela tutte, ma proprio tutte, le funzionalità di Windows
2023
RAM, il futuro è nei chip 3D
2022
USB4 si aggiorna e raggiunge gli 80 Gbit/s
2021
Antibufala: l’iPhone 13 comunicherà via satellite!
2020
Intel, i Core di undicesima generazione sorpassano Amd
2019
Facebook nasconderà il numero dei Like
2018
Firefox bloccherà tutti gli script che tracciano gli utenti nel Web
2016
Pixel e Pixel XL sono i nuovi smartphone di Google
2015
Il minireattore a fusione del MIT
2014
Eee PC, Asus ci riprova
2013
Telecom Italia: bye bye, Italia
2012
Philips abbandona le Tv 21:9
2011
Le storie più incredibili
2010
Samsung Galaxy Tab presentato all'IFA
2009
Il gas esilarante minaccia lo strato di ozono
2008
Psp-3000, l'erede della PlayStation Portable
2007
Alla conquista dell'iPhone
2004
Il consumatore-hacker e la Rete
2003
Una piccola vittoria per la FFII
2002
Vendesi sprinter di Luke Skywalker
2001
UMTS: business o bolla di sapone?
Olimpo Informatico


 
web metrics