報(bào)道稱，智能手機(jī)容易受惡意軟件攻擊，美國(guó)運(yùn)營(yíng)商就允許美國(guó)國(guó)家安全局竊聽手機(jī)。但公眾認(rèn)為，手機(jī)有一個(gè)部位依然很安全：SIM卡。

 

然而，經(jīng)過三年的研究后，斯滕·諾爾聲稱發(fā)現(xiàn)能夠影響數(shù)百萬(wàn)SIM卡的軟件缺陷，為手機(jī)監(jiān)控、詐騙打開了另一條出路。

 

諾爾將于7月31日在拉斯維加斯舉辦的黑帽技術(shù)大會(huì)上公布他的研究成果。他自稱是10年來黑掉SIM卡的第一人。他和他的技術(shù)團(tuán)隊(duì)曾測(cè)試過1000張SIM卡，展示如何在機(jī)主毫不知情的情況下發(fā)送短信以及進(jìn)行金融詐騙。

 

對(duì)于非洲用戶來說，支付詐騙是特別頭痛的問題，因?yàn)橐許IM卡為基礎(chǔ)的支付手段在非洲應(yīng)用廣泛。此外，NFC支付方式以及移動(dòng)商追蹤每位消費(fèi)者賬戶的能力也會(huì)受到威脅。

 

SIM卡漏洞沒有固定的模式，非常隨機(jī)，不同時(shí)期出貨的SIM卡可能會(huì)有所不同。在諾爾的研究中，經(jīng)他測(cè)試的SIM卡，只有不到1/4的卡能被黑。但是考慮到各國(guó)的加密標(biāo)準(zhǔn)不盡相同，他估計(jì)世界上大約1/8的SIM卡能被黑，那就意味著5億手機(jī)不夠安全。

 

諾爾相信，黑客可能還沒有發(fā)現(xiàn)這個(gè)漏洞。由于SIM卡有漏洞的消息被傳出，他預(yù)計(jì)黑客需要至少6個(gè)月才能破解，到那時(shí)候無線產(chǎn)業(yè)將會(huì)提出解決辦法。

 

這樣的努力可能已經(jīng)正在進(jìn)行。諾爾稱，至少兩家大型移動(dòng)商開始要求員工就SIM的隱患找補(bǔ)丁，他們還會(huì)通過無線團(tuán)體GSMA同其他運(yùn)營(yíng)商分享安全補(bǔ)丁。

 

“各個(gè)公司在安全問題上表現(xiàn)出驚人的合作性，因?yàn)楦?jìng)爭(zhēng)來自其他地方。”諾爾說，“競(jìng)爭(zhēng)者是有組織的犯罪，而不是AT&T與T-Mobile的對(duì)抗。”

 

SIM 卡的市場(chǎng)幾乎已被瓜分，由世界兩大資深的全球供應(yīng)商Gemalto 和Oberthur Technologies掌控。兩家公司都因移動(dòng)設(shè)備的增長(zhǎng)獲得豐厚利潤(rùn)：兩年前，全世界只有10億張SIM卡，現(xiàn)如今已經(jīng)超過50億。SIM卡被認(rèn)為是手機(jī)最安全的一部分，維系運(yùn)營(yíng)商與用戶的關(guān)系。

 

Verizon和AT&T均表示知悉諾爾的研究，但都認(rèn)為自己的SIM卡沒有類似缺陷。AT&T表示它的SIM采用了沿襲10年的3DES技術(shù)，而Verizon并未指明其SIM卡具備可靠性的原因。

 

總部設(shè)在倫敦的GSMA表示，他們看過諾爾的分析，認(rèn)為“少部分采用老式加密標(biāo)準(zhǔn)的SIM卡可能會(huì)受影響。”該組織稱，他們已經(jīng)向可能受影響的網(wǎng)絡(luò)運(yùn)營(yíng)商及SIM供應(yīng)商發(fā)布安全指南。

 

諾爾稱，AT&T和Verizon都受益于更先進(jìn)的SIM加密技術(shù)，其他使用DES加密標(biāo)準(zhǔn)的運(yùn)營(yíng)商可能中招。

 

“給我任何一個(gè)電話號(hào)碼，我很可能在很短時(shí)間內(nèi)遠(yuǎn)程控制它，甚至復(fù)制。”諾爾說。

 

SIM卡本質(zhì)上是一個(gè)微型的計(jì)算機(jī)，它有自己的操作系統(tǒng)和預(yù)裝的軟件。為了保持安全性，很多SIM卡都采用IBM于70年代提出的DES加密標(biāo)準(zhǔn)。有的網(wǎng)絡(luò)運(yùn)營(yíng)商，如AT&T以及德國(guó)的四家公司都放棄使用老版的加密標(biāo)準(zhǔn)，其他的仍在沿用。盡管諾爾未總結(jié)出SIM的典型缺陷，但被他黑過的SIM卡均采用陳舊的加密標(biāo)準(zhǔn)。

 

諾爾用到的一個(gè)重要工具是Java Card，這是一種通用編程語(yǔ)言，在60億SIM卡上廣泛使用。例如，如果運(yùn)營(yíng)商需要更新你的SIM卡，它會(huì)向你的手機(jī)發(fā)送二進(jìn)制的SMS信息，并執(zhí)行正確的Java Card程序。這種信息是用戶看不到的，發(fā)送方式為OTA(空中編程)。

 

2011年初，諾爾的團(tuán)隊(duì)開始擺弄OTA協(xié)議。他們發(fā)現(xiàn)，當(dāng)通過OTA協(xié)議向某些SIM卡發(fā)送命令時(shí)，由于不正確的加密簽名，有的SIM卡會(huì)拒絕接受命令;有的SIM卡還會(huì)在錯(cuò)誤信息中提示加密簽名信息。

 

有了這個(gè)簽名，再利用一個(gè)廣為人知的破解方法Rainbow tables，諾爾能夠在1分鐘內(nèi)破解SIM卡的加密鎖。運(yùn)營(yíng)商利用這個(gè)加密鎖遠(yuǎn)程控制SIM卡，而每個(gè)卡的加密鎖是唯一的。

 

“掌握加密鎖的人能向SIM卡發(fā)送任何指令，包括輸入惡意代碼。”智能卡安全公司Riscure的高管賈斯汀·瓦·伍登伯格(Jasper Van Woudenberg)說。

 

諾爾稱，他的團(tuán)隊(duì)幾乎快要放棄的時(shí)候，終于成功破解了這種常見的加密技術(shù)。掌握重要的加密鎖之后，諾爾能將病毒下載至SIM卡，進(jìn)行打電話、收集位置信息等非法活動(dòng)。

 

諾爾還發(fā)現(xiàn)一個(gè)與加密鎖無關(guān)的漏洞。它是SIM卡制造商的失誤，導(dǎo)致SIM卡能被更深入地破解。

 

Java Card采用一種叫做sandboxing的安全技術(shù)。所有的預(yù)裝程序互不干涉。這條術(shù)語(yǔ)本身的意思也很簡(jiǎn)單，顧名思義，就是“每條程序在自己的沙盒里玩自己的玩具。”諾爾稱，這種sandboxing技術(shù)在廣泛使用的SIM卡中遭到破解。他們發(fā)現(xiàn)，有的SIM卡協(xié)議允許病毒檢查一款未在卡上安裝的支付應(yīng)用的文件。

 

這種破解過程十分復(fù)雜，不過諾爾測(cè)試的病毒是向被感染的Java程序發(fā)送其所不能理解或不能完成的指令，導(dǎo)致軟件進(jìn)行基本的安全檢查，這樣病毒就可以獲取內(nèi)存信息或Root權(quán)限。

 

總而言之，一個(gè)采用這種方法的惡意入侵者會(huì)先試驗(yàn)100部手機(jī)。他們可以利用一個(gè)與電腦連接的可編程手機(jī)向所有手機(jī)發(fā)送二進(jìn)制SMS信息。接著，他們可能會(huì)得到25條帶有加密簽名的反饋信息。然后，他們會(huì)放棄破解半數(shù)采用增強(qiáng)機(jī)密技術(shù)的SIM卡。之后，黑客們可能會(huì)破解13個(gè)SIM卡，并發(fā)送病毒突破 Java Card的sandbox障礙，最后他們成為SIM卡的真正掌控者。

 

誰(shuí)應(yīng)該為此受指責(zé)?諾爾稱，Java sandboxing技術(shù)是主流SIM卡的一個(gè)短板，這一點(diǎn)也得到供應(yīng)商的確認(rèn)。

 

Gemalto表示，他們正與GSMA等組織密切合作，調(diào)查諾爾的研究。 Gemalto的高管此前還表示，移動(dòng)支付不會(huì)有安全困擾。他的公司聲稱SIM卡“幾乎不可能被黑”。

 

即便如此，諾爾認(rèn)為每個(gè)運(yùn)營(yíng)商都不能幸免于難，包括采用高級(jí)加密標(biāo)準(zhǔn)技術(shù)公司，因?yàn)?DES并非萬(wàn)無一失的技術(shù)。

 

至少現(xiàn)在看來，運(yùn)營(yíng)商應(yīng)該趕快升級(jí)至新的加密技術(shù),這不僅是對(duì)服務(wù)訂閱者的負(fù)責(zé),而且也有利于未來的營(yíng)收。比如支付服務(wù)供應(yīng)商，如MasterCard 和Visa未來需要將Java應(yīng)用程序移植到SIM卡中，那就需要支付運(yùn)營(yíng)商一部分費(fèi)用。

 

“當(dāng)支付時(shí)代來臨時(shí)，移動(dòng)運(yùn)營(yíng)商和SIM卡制造商真的需要升級(jí)安全策略。” 伍登伯格說。但另一方面，銀行采用新技術(shù)時(shí)總是小心翼翼，等待技術(shù)的安全性得到驗(yàn)證。然而移動(dòng)世界的發(fā)展日新月異，進(jìn)入市場(chǎng)的時(shí)間非常重要。

 

隨著移動(dòng)支付的興起，諾爾的研究表明，SIM卡安全問題所帶來的挑戰(zhàn)遠(yuǎn)比人們預(yù)期的更有難度。