報道稱，智能手機(jī)容易受惡意軟件攻擊，美國運營商就允許美國國家安全局竊聽手機(jī)。但公眾認(rèn)為，手機(jī)有一個部位依然很安全：SIM卡。

 

然而，經(jīng)過三年的研究后，斯滕·諾爾聲稱發(fā)現(xiàn)能夠影響數(shù)百萬SIM卡的軟件缺陷，為手機(jī)監(jiān)控、詐騙打開了另一條出路。

 

諾爾將于7月31日在拉斯維加斯舉辦的黑帽技術(shù)大會上公布他的研究成果。他自稱是10年來黑掉SIM卡的第一人。他和他的技術(shù)團(tuán)隊曾測試過1000張SIM卡，展示如何在機(jī)主毫不知情的情況下發(fā)送短信以及進(jìn)行金融詐騙。

 

對于非洲用戶來說，支付詐騙是特別頭痛的問題，因為以SIM卡為基礎(chǔ)的支付手段在非洲應(yīng)用廣泛。此外，NFC支付方式以及移動商追蹤每位消費者賬戶的能力也會受到威脅。

 

SIM卡漏洞沒有固定的模式，非常隨機(jī)，不同時期出貨的SIM卡可能會有所不同。在諾爾的研究中，經(jīng)他測試的SIM卡，只有不到1/4的卡能被黑。但是考慮到各國的加密標(biāo)準(zhǔn)不盡相同，他估計世界上大約1/8的SIM卡能被黑，那就意味著5億手機(jī)不夠安全。

 

諾爾相信，黑客可能還沒有發(fā)現(xiàn)這個漏洞。由于SIM卡有漏洞的消息被傳出，他預(yù)計黑客需要至少6個月才能破解，到那時候無線產(chǎn)業(yè)將會提出解決辦法。

 

這樣的努力可能已經(jīng)正在進(jìn)行。諾爾稱，至少兩家大型移動商開始要求員工就SIM的隱患找補(bǔ)丁，他們還會通過無線團(tuán)體GSMA同其他運營商分享安全補(bǔ)丁。

 

“各個公司在安全問題上表現(xiàn)出驚人的合作性，因為競爭來自其他地方。”諾爾說，“競爭者是有組織的犯罪，而不是AT&T與T-Mobile的對抗。”

 

SIM 卡的市場幾乎已被瓜分，由世界兩大資深的全球供應(yīng)商Gemalto 和Oberthur Technologies掌控。兩家公司都因移動設(shè)備的增長獲得豐厚利潤：兩年前，全世界只有10億張SIM卡，現(xiàn)如今已經(jīng)超過50億。SIM卡被認(rèn)為是手機(jī)最安全的一部分，維系運營商與用戶的關(guān)系。

 

Verizon和AT&T均表示知悉諾爾的研究，但都認(rèn)為自己的SIM卡沒有類似缺陷。AT&T表示它的SIM采用了沿襲10年的3DES技術(shù)，而Verizon并未指明其SIM卡具備可靠性的原因。

 

總部設(shè)在倫敦的GSMA表示，他們看過諾爾的分析，認(rèn)為“少部分采用老式加密標(biāo)準(zhǔn)的SIM卡可能會受影響。”該組織稱，他們已經(jīng)向可能受影響的網(wǎng)絡(luò)運營商及SIM供應(yīng)商發(fā)布安全指南。

 

諾爾稱，AT&T和Verizon都受益于更先進(jìn)的SIM加密技術(shù)，其他使用DES加密標(biāo)準(zhǔn)的運營商可能中招。

 

“給我任何一個電話號碼，我很可能在很短時間內(nèi)遠(yuǎn)程控制它，甚至復(fù)制。”諾爾說。

 

SIM卡本質(zhì)上是一個微型的計算機(jī)，它有自己的操作系統(tǒng)和預(yù)裝的軟件。為了保持安全性，很多SIM卡都采用IBM于70年代提出的DES加密標(biāo)準(zhǔn)。有的網(wǎng)絡(luò)運營商，如AT&T以及德國的四家公司都放棄使用老版的加密標(biāo)準(zhǔn)，其他的仍在沿用。盡管諾爾未總結(jié)出SIM的典型缺陷，但被他黑過的SIM卡均采用陳舊的加密標(biāo)準(zhǔn)。

 

諾爾用到的一個重要工具是Java Card，這是一種通用編程語言，在60億SIM卡上廣泛使用。例如，如果運營商需要更新你的SIM卡，它會向你的手機(jī)發(fā)送二進(jìn)制的SMS信息，并執(zhí)行正確的Java Card程序。這種信息是用戶看不到的，發(fā)送方式為OTA(空中編程)。

 

2011年初，諾爾的團(tuán)隊開始擺弄OTA協(xié)議。他們發(fā)現(xiàn)，當(dāng)通過OTA協(xié)議向某些SIM卡發(fā)送命令時，由于不正確的加密簽名，有的SIM卡會拒絕接受命令;有的SIM卡還會在錯誤信息中提示加密簽名信息。

 

有了這個簽名，再利用一個廣為人知的破解方法Rainbow tables，諾爾能夠在1分鐘內(nèi)破解SIM卡的加密鎖。運營商利用這個加密鎖遠(yuǎn)程控制SIM卡，而每個卡的加密鎖是唯一的。

 

“掌握加密鎖的人能向SIM卡發(fā)送任何指令，包括輸入惡意代碼。”智能卡安全公司Riscure的高管賈斯汀·瓦·伍登伯格(Jasper Van Woudenberg)說。

 

諾爾稱，他的團(tuán)隊幾乎快要放棄的時候，終于成功破解了這種常見的加密技術(shù)。掌握重要的加密鎖之后，諾爾能將病毒下載至SIM卡，進(jìn)行打電話、收集位置信息等非法活動。

 

諾爾還發(fā)現(xiàn)一個與加密鎖無關(guān)的漏洞。它是SIM卡制造商的失誤，導(dǎo)致SIM卡能被更深入地破解。

 

Java Card采用一種叫做sandboxing的安全技術(shù)。所有的預(yù)裝程序互不干涉。這條術(shù)語本身的意思也很簡單，顧名思義，就是“每條程序在自己的沙盒里玩自己的玩具。”諾爾稱，這種sandboxing技術(shù)在廣泛使用的SIM卡中遭到破解。他們發(fā)現(xiàn)，有的SIM卡協(xié)議允許病毒檢查一款未在卡上安裝的支付應(yīng)用的文件。

 

這種破解過程十分復(fù)雜，不過諾爾測試的病毒是向被感染的Java程序發(fā)送其所不能理解或不能完成的指令，導(dǎo)致軟件進(jìn)行基本的安全檢查，這樣病毒就可以獲取內(nèi)存信息或Root權(quán)限。

 

總而言之，一個采用這種方法的惡意入侵者會先試驗100部手機(jī)。他們可以利用一個與電腦連接的可編程手機(jī)向所有手機(jī)發(fā)送二進(jìn)制SMS信息。接著，他們可能會得到25條帶有加密簽名的反饋信息。然后，他們會放棄破解半數(shù)采用增強(qiáng)機(jī)密技術(shù)的SIM卡。之后，黑客們可能會破解13個SIM卡，并發(fā)送病毒突破 Java Card的sandbox障礙，最后他們成為SIM卡的真正掌控者。

 

誰應(yīng)該為此受指責(zé)?諾爾稱，Java sandboxing技術(shù)是主流SIM卡的一個短板，這一點也得到供應(yīng)商的確認(rèn)。

 

Gemalto表示，他們正與GSMA等組織密切合作，調(diào)查諾爾的研究。 Gemalto的高管此前還表示，移動支付不會有安全困擾。他的公司聲稱SIM卡“幾乎不可能被黑”。

 

即便如此，諾爾認(rèn)為每個運營商都不能幸免于難，包括采用高級加密標(biāo)準(zhǔn)技術(shù)公司，因為3DES并非萬無一失的技術(shù)。

 

至少現(xiàn)在看來，運營商應(yīng)該趕快升級至新的加密技術(shù),這不僅是對服務(wù)訂閱者的負(fù)責(zé),而且也有利于未來的營收。比如支付服務(wù)供應(yīng)商，如MasterCard 和Visa未來需要將Java應(yīng)用程序移植到SIM卡中，那就需要支付運營商一部分費用。

 

“當(dāng)支付時代來臨時，移動運營商和SIM卡制造商真的需要升級安全策略。” 伍登伯格說。但另一方面，銀行采用新技術(shù)時總是小心翼翼，等待技術(shù)的安全性得到驗證。然而移動世界的發(fā)展日新月異，進(jìn)入市場的時間非常重要。

 

隨著移動支付的興起，諾爾的研究表明，SIM卡安全問題所帶來的挑戰(zhàn)遠(yuǎn)比人們預(yù)期的更有難度。