Zranitelnosti bankovních systémů přes GSM a Paris Hilton

Richard Jan Voigts , 09. březen 2018 06:00 5 komentářů

GSM a SIM karty příliš bezpečné nejsou, a proto nejsou bezpečné ani pro autentizaci při online bankovnictví.

Na konferenci AEC Security 2018 byla řada technických přednášek, jednu z nich měl Tomáš Rosa z Raiffeisen bank. Banky totiž používají jako jedno z potvrzení (autentizaci) SMS zprávy v sítích GSM. Ani GSM sítě, ani SIM karty však příliš bezpečné nejsou.

Dnes se už kvůli softwarově řízeným komunikačním pojítkům („rádiům“) týká zranitelnost i sítí GSM, do nichž se dá právě tomuto za pomoci více či méně složitých nástrojů dostat a převzít zrovna ten váš telefon a získat z něj vaše osobní data. Lze je normálně hacknout, stejně jako Wi-Fi. Týká se to vysílačů, mobilních telefonů, ale i NFC zařízení (Near Field Communication).

Ohledně GSM sítí operátoři využívají nejen sítě 4. generace, ale paralelně k tomu udržují i sítě 2G a 3G. Přestože je síť 4. generace lépe chráněná, lze se do ní dostat skrze krádež identity víceméně pohodlně přes síť 2. generace. Například ani telefon, který je „zaparkován“ v síti 4. generace, lze unést do sítě 2. nebo 3. generace tzv. fall-back útokem. Fall-back je totiž technologie, kterou operátoři mají pro případ přírodních katastrof, aby si mohli navzájem pomoci, a toho lze fall-back útokem zneužít. Pokud také síť 4. generace nemůže přijmout telefon přes VoLTE (Voice over LTE) a přesměruje jej do sítě 2. generace, toto nemusí provést jeho autentizací. Lze vyladit hardware (speciální nebo i běžný mobilní telefon) tak, aby rychle odpověděl na volání BTS („hledám tě“, tj. telefon který se chce přihlásit), a dostat se tak do sítě. Falšovat lze i telefonní číslo volajícího (caller ID spoofer).

„Toto ostatně provedla už někdy v roce 2009 Paris Hilton, řekl s úsměvem Tomáš Rosa, a dodal: „Může být odbornicí na cokoliv, ale na hacking GSM sítí rozhodně ne. Koupila si za pár dolarů zařízení, s jehož pomocí falšovala telefonní číslo, zřejmě si chtěla inkognito koupit nějakou parádu na sebe.“ Zneužít lze i SIM kartu, když operátor vydá další se stejným číslem. Tomáš Rosa z Reiffeisen bank nakonec prohlásil: „Protože ‚rádia‘ jsou dnes softwarově definována, stávají se stejně zranitelnými jako sítě TCP/IP. Proto také autentizace přes SMS brzy z bankovnictví zmizí. Banky totiž musejí mít cokoliv co je k autentizaci pod vlastní kontrolou, a SIM karty to rozhodně nejsou. Banky totiž musejí mít cokoliv, co se týká autentizace, pod vlastní kontrolou, a SIM karty to rozhodně nejsou.“

Mimochodem – jedno z možných řešení posílení bezpečnosti GSM sítí nabízí Dataspring, který nabízí zabezpečení protokolu SS7, využívaný už od roku 1997, jehož zranitelnost byla poprvé zmíněna v roce 2008 a v roce 2014 byla publikována jeho víceméně všeobecná zranitelnost včetně mobilních telefonů.


Komentáře

Koloman Novák #0
Koloman Novák 09. březen 2018 13:43

Opravdu NFC znamená "Near Frequency Communication" ? :-(

Marek #1
Marek 09. březen 2018 17:26

To bude asi Field ;-)

T. #2
T. 13. březen 2018 07:40

Bože, četls to po sobě? Aspoň jednou?

Richard Jan Voigts #3
Richard Jan Voigts 14. březen 2018 12:47

Díky za upozornění, už je to opraveno, omlouvám se za nepřesnost.
Po pravdě to bylo dost narychlo a na Securitě byla taková smršť přednášek a tím i informací,navíc ve dvou sekcích, že mi tohle uteklo, navíc přednášející pořád hovořil o rádiích a frekvencích...
rjv

Jennie Todd #4
Jennie Todd 20. březen 2018 03:12

Tento článek je skvělý a zajímavý, jsem velmi spokojen s obsahem.
instagram search http://imgaram.com/

RSS 

Komentujeme

Když obrázek není tím, čím se zdá být

Pavel Houser , 10. listopad 2018 06:30
Pavel Houser

Problematika falešných zpráva je dnes módní záležitostí. Následující výzkum se zaměřuje na jeden spe...

Více







RSS 

Zprávičky

Podle Check Pointu malware těžící kryptoměny dominuje dál

Pavel Houser , 17. listopad 2018 08:00

Objevena byla rozsáhlá kampaň šířící RAT malware FlawedAmmyy....

Více 0 komentářů

Samsung Exynos 9 řady 9820 pro umělou inteligenci v mobilech

Pavel Houser , 16. listopad 2018 12:46

Jádro čtvrté generace a modem LTE Advanced Pro s rychlostí 2,0 Gb/s mají vylepšit rozšířenou a virtu...

Více 0 komentářů

BlackBerry koupí za 1,4 miliardy USD Cylance

ČTK , 16. listopad 2018 12:40

Cylance vyvíjí produkty na bázi umělé inteligence, které mají zabránit kybernetickým útokům....

Více 0 komentářů

Starší zprávičky

Uber ve čtvrtletí prohloubil ztrátu na 1,07 miliardy USD

ČTK , 16. listopad 2018 08:00

Uber zvažuje, že posune primární nabídku akcií z druhé poloviny příštího roku na první polovinu....

Více 0 komentářů

Novým generálním ředitelem Autocontu je bývalý šéf Oracle Sameš

ČTK , 15. listopad 2018 12:44

Autocont se zaměřuje na poskytování komplexních IT řešení a služeb pro firmy a státní správu....

Více 0 komentářů

Lagardeová: Centrální banky by měly vydávat digitální měny

ČTK , 15. listopad 2018 08:00

Některé centrální banky, včetně švédské, kanadské a čínské, již uvažují o emisích digitálních měn ve...

Více 0 komentářů

Rostly ceny smartphonů, počítačů i tiskáren

Pavel Houser , 14. listopad 2018 11:53

Trh s technickým spotřebním zbožím zaznamenal podle statistik GfK v České republice ve 3. čtvrtletí ...

Více 0 komentářů