GSM a SIM karty příliš bezpečné nejsou, a proto nejsou bezpečné ani pro autentizaci při online bankovnictví.
Na konferenci AEC Security 2018 byla řada technických přednášek, jednu z nich měl Tomáš Rosa z Raiffeisen bank. Banky totiž používají jako jedno z potvrzení (autentizaci) SMS zprávy v sítích GSM. Ani GSM sítě, ani SIM karty však příliš bezpečné nejsou.
Dnes se už kvůli softwarově řízeným komunikačním pojítkům („rádiům“) týká zranitelnost i sítí GSM, do nichž se dá právě tomuto za pomoci více či méně složitých nástrojů dostat a převzít zrovna ten váš telefon a získat z něj vaše osobní data. Lze je normálně hacknout, stejně jako Wi-Fi. Týká se to vysílačů, mobilních telefonů, ale i NFC zařízení (Near Field Communication).
Ohledně GSM sítí operátoři využívají nejen sítě 4. generace, ale paralelně k tomu udržují i sítě 2G a 3G. Přestože je síť 4. generace lépe chráněná, lze se do ní dostat skrze krádež identity víceméně pohodlně přes síť 2. generace. Například ani telefon, který je „zaparkován“ v síti 4. generace, lze unést do sítě 2. nebo 3. generace tzv. fall-back útokem. Fall-back je totiž technologie, kterou operátoři mají pro případ přírodních katastrof, aby si mohli navzájem pomoci, a toho lze fall-back útokem zneužít. Pokud také síť 4. generace nemůže přijmout telefon přes VoLTE (Voice over LTE) a přesměruje jej do sítě 2. generace, toto nemusí provést jeho autentizací. Lze vyladit hardware (speciální nebo i běžný mobilní telefon) tak, aby rychle odpověděl na volání BTS („hledám tě“, tj. telefon který se chce přihlásit), a dostat se tak do sítě. Falšovat lze i telefonní číslo volajícího (caller ID spoofer).
„Toto ostatně provedla už někdy v roce 2009 Paris Hilton, řekl s úsměvem Tomáš Rosa, a dodal: „Může být odbornicí na cokoliv, ale na hacking GSM sítí rozhodně ne. Koupila si za pár dolarů zařízení, s jehož pomocí falšovala telefonní číslo, zřejmě si chtěla inkognito koupit nějakou parádu na sebe.“ Zneužít lze i SIM kartu, když operátor vydá další se stejným číslem. Tomáš Rosa z Reiffeisen bank nakonec prohlásil: „Protože ‚rádia‘ jsou dnes softwarově definována, stávají se stejně zranitelnými jako sítě TCP/IP. Proto také autentizace přes SMS brzy z bankovnictví zmizí. Banky totiž musejí mít cokoliv co je k autentizaci pod vlastní kontrolou, a SIM karty to rozhodně nejsou. Banky totiž musejí mít cokoliv, co se týká autentizace, pod vlastní kontrolou, a SIM karty to rozhodně nejsou.“
Mimochodem – jedno z možných řešení posílení bezpečnosti GSM sítí nabízí Dataspring, který nabízí zabezpečení protokolu SS7, využívaný už od roku 1997, jehož zranitelnost byla poprvé zmíněna v roce 2008 a v roce 2014 byla publikována jeho víceméně všeobecná zranitelnost včetně mobilních telefonů.
