Un fallo en las tarjetas SIM permite a un atacante tomar el control de nuestros teléfonos

http://www.omicrono.com/2013/07/un-fallo-en-las-tarjetas-sim-permite-a-un-atacante-tomar-el-control-de-nuestros-telefonos/

Normalmente, cuando hablamos de errores de seguridad en smartphones, suele tratarse de un problema con el sistema operativo, la capa superior que controla al resto. Las razones son bien sencillas: el código creado para un sistema operativo es mucho mas extenso (así que es mas probable que haya fallos) y puede actualizarse fácilmente (así que un error se puede subsanar, quitando presión). En cambio, es muy raro ver bugs graves en el firmware o en el hardware de los dispositivos; son elementos mucho mas restringidos en lo que pueden o no hacer, y al mismo tiempo son controlados desde su creación para evitar cualquier problema.
Pero el caso que vemos hoy afecta a un elemento del que nos solemos olvidar una vez que lo instalamos: la tarjeta SIM, en particular aquellas que usan el estándar DES para cifrar los datos. Este método se está abandonando por otras alternativas, pero aún hay muchos fabricantes que lo utilizan en sus tarjetas, por no mencionar la enorme cantidad de estas que hay en poder de los usuarios.

La vulnerabilidad salió a la luz cuando un investigador mandó mensajes falsos de una operadora a varios dispositivos con estas tarjetas. El 25% de estos realizaron una respuesta automática, en la que se incluía la llave de seguridad de la SIM, de 56 dígitos. Con ese dato, un atacante puede obtener el control absoluto del teléfono, ya que puede firmar virus y otro tipo de programas con esa llave y el sistema los reconocerá como fiables. Estos virus se pueden transmitir por SMS, y permiten ver los mensajes de texto e incluso realizar llamadas a cargo de la cuenta de la víctima. Un virus parecido puede ser usado por un atacante para realizar llamadas a números de pago o para asumir la identidad de su propietario. 
Los fabricantes de tarjetas SIM son conscientes de esta vulnerabilidad, y de hecho las nuevas tarjetas ya no la tienen. Ahora les queda trabajar con las operadoras para encontrar una solución para las ya existentes en el mercado (como filtrando ciertos tipos de mensajes), preferiblemente antes del 1 de Agosto, cuando se harán públicos los detalles de la vulnerabilidad y el método de los ataques.
Fuente | The New York Times

Enviado por gReader

Anuncios
Minientrada | Esta entrada fue publicada en Security. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s