Zranitelnosti bankovních systémů přes GSM a Paris Hilton

Richard Jan Voigts , 09. březen 2018 06:00 5 komentářů

GSM a SIM karty příliš bezpečné nejsou, a proto nejsou bezpečné ani pro autentizaci při online bankovnictví.

Na konferenci AEC Security 2018 byla řada technických přednášek, jednu z nich měl Tomáš Rosa z Raiffeisen bank. Banky totiž používají jako jedno z potvrzení (autentizaci) SMS zprávy v sítích GSM. Ani GSM sítě, ani SIM karty však příliš bezpečné nejsou.

Dnes se už kvůli softwarově řízeným komunikačním pojítkům („rádiům“) týká zranitelnost i sítí GSM, do nichž se dá právě tomuto za pomoci více či méně složitých nástrojů dostat a převzít zrovna ten váš telefon a získat z něj vaše osobní data. Lze je normálně hacknout, stejně jako Wi-Fi. Týká se to vysílačů, mobilních telefonů, ale i NFC zařízení (Near Field Communication).

Ohledně GSM sítí operátoři využívají nejen sítě 4. generace, ale paralelně k tomu udržují i sítě 2G a 3G. Přestože je síť 4. generace lépe chráněná, lze se do ní dostat skrze krádež identity víceméně pohodlně přes síť 2. generace. Například ani telefon, který je „zaparkován“ v síti 4. generace, lze unést do sítě 2. nebo 3. generace tzv. fall-back útokem. Fall-back je totiž technologie, kterou operátoři mají pro případ přírodních katastrof, aby si mohli navzájem pomoci, a toho lze fall-back útokem zneužít. Pokud také síť 4. generace nemůže přijmout telefon přes VoLTE (Voice over LTE) a přesměruje jej do sítě 2. generace, toto nemusí provést jeho autentizací. Lze vyladit hardware (speciální nebo i běžný mobilní telefon) tak, aby rychle odpověděl na volání BTS („hledám tě“, tj. telefon který se chce přihlásit), a dostat se tak do sítě. Falšovat lze i telefonní číslo volajícího (caller ID spoofer).

„Toto ostatně provedla už někdy v roce 2009 Paris Hilton, řekl s úsměvem Tomáš Rosa, a dodal: „Může být odbornicí na cokoliv, ale na hacking GSM sítí rozhodně ne. Koupila si za pár dolarů zařízení, s jehož pomocí falšovala telefonní číslo, zřejmě si chtěla inkognito koupit nějakou parádu na sebe.“ Zneužít lze i SIM kartu, když operátor vydá další se stejným číslem. Tomáš Rosa z Reiffeisen bank nakonec prohlásil: „Protože ‚rádia‘ jsou dnes softwarově definována, stávají se stejně zranitelnými jako sítě TCP/IP. Proto také autentizace přes SMS brzy z bankovnictví zmizí. Banky totiž musejí mít cokoliv co je k autentizaci pod vlastní kontrolou, a SIM karty to rozhodně nejsou. Banky totiž musejí mít cokoliv, co se týká autentizace, pod vlastní kontrolou, a SIM karty to rozhodně nejsou.“

Mimochodem – jedno z možných řešení posílení bezpečnosti GSM sítí nabízí Dataspring, který nabízí zabezpečení protokolu SS7, využívaný už od roku 1997, jehož zranitelnost byla poprvé zmíněna v roce 2008 a v roce 2014 byla publikována jeho víceméně všeobecná zranitelnost včetně mobilních telefonů.


Komentáře

Koloman Novák #0
Koloman Novák 09. březen 2018 13:43

Opravdu NFC znamená "Near Frequency Communication" ? :-(

Marek #1
Marek 09. březen 2018 17:26

To bude asi Field ;-)

T. #2
T. 13. březen 2018 07:40

Bože, četls to po sobě? Aspoň jednou?

Richard Jan Voigts #3
Richard Jan Voigts 14. březen 2018 12:47

Díky za upozornění, už je to opraveno, omlouvám se za nepřesnost.
Po pravdě to bylo dost narychlo a na Securitě byla taková smršť přednášek a tím i informací,navíc ve dvou sekcích, že mi tohle uteklo, navíc přednášející pořád hovořil o rádiích a frekvencích...
rjv

Jennie Todd #4
Jennie Todd 20. březen 2018 03:12

Tento článek je skvělý a zajímavý, jsem velmi spokojen s obsahem.
instagram search http://imgaram.com/

RSS 

Komentujeme

CCDO: další zkratka na obzoru?

Pavel Houser , 17. květen 2018 09:00
Pavel Houser

Nová náplň práce CIO a ředitelé přes zákazníky, respektive zákaznická data....

Více







RSS 

Zprávičky

ČR má v Evropě 3. nejvyšší platbu za 1 GB mobilních dat

ČTK , 20. květen 2018 16:04

Ve výši průměrného měsíčního tarifu patří ČR s 33 dolary k evropskému průměru....

Více 0 komentářů

Algotech a Sugar Factory se spojují

Pavel Houser , 19. květen 2018 09:00

Společnost Algotech oznámila převzetí společnosti Sugar Factory, českého dodavatele řešení pro řízen...

Více 0 komentářů

Infineon postaví za 1,6 mld. eur novou továrnu na čipy v Rakousku

ČTK , 19. květen 2018 08:00

Infineon je předním světovým producentem polovodičových řešení, v loňském fiskálním roce dosáhl trže...

Více 0 komentářů

Starší zprávičky

Výrobce displejů Japan Display měl loni rekordní ztrátu

ČTK , 18. květen 2018 12:00

Dodavatel Applu doplácí na pozdní zavedení výroby OLED, v iPhone X Apple používá displeje od Samsung...

Více 0 komentářů

Toshiba smí prodat čipovou divizi

ČTK , 18. květen 2018 09:00

Firma se snaží vzpamatovat z účetního skandálu, před 3 lety přiznala rozsáhlé nesrovnalosti v účetni...

Více 0 komentářů

Nová varianta ransomwaru SynAck je schopná obejít zabezpečení

Pavel Houser , 18. květen 2018 08:00

Technika Process Doppelgänging zahrnuje bezsouborovou injektáž kódu, která využívá zabudované funkce...

Více 0 komentářů

YouTube spouští novou hudební streamovací službu

ČTK , 17. květen 2018 10:49

Nová verze YouTube Music provázená reklamami bude nabízena zdarma....

Více 1 komentářů