柏林「安全研究實驗室」(Security Research Labs)指出,駭客可能使用被駭的SIM卡從事金融犯罪或電子間諜活動,該公司創辦人兼研究員諾爾(Karsten Nohl)預定在三十一日舉行的「黑帽駭客會議」(Black Hat hacking conference)上詳述所發現的問題。
諾爾指出,他成功突破SIM卡五十六位元數據加密標準(DES)的數位金鑰,讓他可透過秘密簡訊寄送並安裝病毒。更令人驚愕的是,此「fake carrier」訊息促使二十五%的SIM卡自動回應,暴露SIM卡的五十六位元安全金鑰。
他說,他只花兩分鐘就完成整個入侵行動,一旦複製SIM卡,即可冒充手機用戶打電話、傳簡訊,「我們變成SIM卡,能做一般用戶會做的所有事,如果手機內有萬事達(MasterCard)卡號或PayPal資料,我們也能到手。」
諾爾指出,所有類型的手機,包括蘋果的iPhone、使用Google安卓軟體的手機與黑莓機都有被駭之虞,其中非洲地區恐最易受攻擊,因其銀行作業廣泛透過手機付款系統完成,其認證資料都存於SIM卡。黑莓公司安全反應與威脅分析部主任史東表示,該公司去年提出新的SIM卡標準,以避免產品遭諾爾形容的相關攻擊。蘋果與Google則未回應。
雖然此舉只能竊取儲存在SIM卡內的資料,將機密儲存在SIM卡外的付款應用程式不受影響,但諾爾警告,儲存在SIM卡外的資料恐將面臨各類已知的其他攻擊,也因為這些風險,才促使業者將付款資料存放在SIM卡。
ITU秘書長托赫表示,這項發現「意義重大」,該機構將對全球近兩百個國家的電信管理單位,以及數百個行動通信公司、學界與其他業界專家,提出相關警告。