SIM-korttien laaja tietoturvahaavoittuvuus ei suuri uhka Suomessa

SIM-kortteja

SIM-korttien aiemmin tällä viikolla uutisoitu laaja tietoturvahaavoittuvuus ei näillä näkymin ole nousemassa suureksi uhkaksi Suomessa. Viestintävirasto on yhdessä operaattorien kanssa selvittänyt asiaa.

Paljastunut haavoittuvuus liittyy tapaan, jolla tietyt vanhalla DES-salauksella varustetut kortit käsittelevät niille lähetettyjä viestejä. Paluuviestissä ensimmäiseen viestiinsä hyökkääjä saa käsiinsä kryptografisen avaimen, jota hän voi hyödyntää toisessa viestissä kortin varmistusten ohittamiseen. Tavallisella tietokoneella salauksen purkuun menee vain pari minuuttia. Vanha 56-bittinen DES-salaustekniikka on peräisin jo 70-luvulta.

Viestintäviraston kertomien alustavien tietojen perusteella DES-standardia käyttävät SIM-kortit eivät olisi enää laajassa käytössä Suomessa.Kortit, joita haavoittuvuudet koskevat, on pääasiassa myönnetty 2001-2007 vuosien välillä, eikä niitäkään ole ollut käytössä kaikilla operaattoreilla. Turvassa hyökkäyksiltä ovat 3DES- ja AES-standardia käyttävät kortit.

Operaattoreista Elisa (Saunalahti) ja DNA ovat vahvistaneet, ettei ongelma koske niitä lainkaan. Sonera sen sijaan on kertonut, että ongelma voi koskea joitakin sen kortteja. Uudemmat Micro- ja Nano-SIM-kortit ovat kuitenkin ainakin pääosin suojassa hyökkäykseltä.

SIM-korttien vaihdon ohella operaattoreilla on mahdollisuus torjua uhkan mahdollisuutta myös suodattamalla viestiliikennettä ja estämällä näin hyökkäyksessä käytettyjen viestien välitys puhelimiin, eikä ongelmia lopulta odotetakaan juuri syntyvän.

Alun perin haavoittuvuuden löytänyt Karsten Nohl arveli, että maailmassa käytössä olevista SIM-korteista haavoittuvia hyökkäykselle voisi olla kenties noin kahdeksasosa. Käytännössä kyse olisi ollut 500 miljoonasta miljardiin SIM-kortista.

Paljastuneen haavoittuvuuden hyödyntämisessä onnistuva hyökkääjä voisi sen jälkeen esimerkiksi lähetyttää kortilla viestejä (mahdollisesti maksullisiin numeroihin), selvittää käyttäjän sijainnin tai kuunnella mahdollisesti myös tämän puheluita. Myös kortin tajoamiin maksuominaisuuksiin käsiksi pääsyn on kerrottu mahdollisesti onnistuvan haavoittuvuuden ansiosta.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla