SIM-карта является крошечным, но полноценным компьютером, созданным ради безопасности абонентов сотовой связи. Немецкие исследователи доказали, что он не безупречен в плане безопасности и заявили, что «под угрозой» находятся сотни миллионов SIM-карт и их владельцев. Насколько велика угроза и о каких последствиях может идти речь?
Фото: Ъ
Широко известно, что на SIM-карте хранится идентификатор абонента, связанный с его лицевым счетом, телефонным номером, и так далее. Владельцы старинных телефонов также помнят, что там есть место для SMS-сообщений и записной книжки. Что известно гораздо меньше, так это наличие собственных вычислительных мощностей у карточки. У нее есть своя память, процессор, и так далее. Например, когда вы вводите PIN-код, его проверяет именно SIM-карта, а не телефон. Функциональность SIM-карты как компьютера достаточно широка: она способна самостоятельно принимать и отправлять SMS-сообщения, общаться с различными сотовыми операторами по вопросам приема и установки настроек связи, и многое другое. Новые SIM-карты также могут содержать дополнительные данные, такие как реквизиты банковских карт и сопутствующие платежные приложения. Важное «но» – доступ ко всему перечисленному очень строго ограничен, обмен данными зашифрован, поскольку главная задача SIM-карты – препятствовать легкому извлечению и копированию конфиденциальных данных. Именно на эту святая святых покусились сотрудники берлинской Security Research Labs. Проведя эксперименты над тысячей разнообразных SIM-карт, они установили, что некоторые из «симок» имеют ряд недоработок. Во-первых, обменявшись с SIM-картой «невидимыми» сервисными SMS, можно извлечь и декодировать персональную цифровую подпись SIM-карты, после чего становится возможным загрузить на нее новые программы, например, скрытно отправляющие платные SMS. Во-вторых, иногда имеется возможность добраться до данных «соседней» - например, платежных приложений. Это может вести к краже номера кредитной карты со всеми неприятными последствиями. Еще раз подчеркнем, что все это происходит на уровне SIM-карты, поэтому марка и модель телефона/смартфона вообще не важны.
Хотя все вышеописанное звучит впечатляюще и угрожающе, паниковать и штурмовать офисы операторов абонентам не стоит. Во-первых, описанный трюк работает только на старых SIM-картах, использующих устаревшее и нестойкое шифрование. Большинство операторов давно перешли на закупки более новых моделей карточек, снабженных мощной защитой. Во-вторых, карты с установленными платежными приложениями однозначно относятся к современным и хорошо защищенным. С очень высокой вероятностью достаточна защита на любой карте micro- и nano-SIM. По сути, хоть какой-то повод для беспокойства есть у владельцев весьма старых – десятилетней давности – карт, но таких не очень много. Встревоженным абонентам можно порекомендовать замену SIM-карты, благо, почти все операторы сегодня делают это бесплатно. А абсолютно всем абонентам можно порекомендовать читать новости безопасности с долей скептицизма, поскольку далеко не каждая найденная уязвимость, к счастью, применима в реальной жизни.