2min

Nog geen twee weken geleden werd bekend dat er een grote bug zat in de beveiliging van simkaarten en dat meer dan 500 miljoen mobiele telefoons hier vatbaar voor waren. Inmiddels zijn we 10 dagen verder en hebben vrijwel alle telecomproviders gehandeld en het lek gedicht. Dat laat Karsten Nohl aan Reuters weten.

Op 22 juli schreven we op Techzine al over het lek in de simkaarten, inmiddels zijn we 10 dagen verder en hebben de telecomproviders het lek gedicht. Een stuk sneller dan veel beveiligingsexperts en Karsten Nohl, die het lek aan het licht bracht, verwacht hadden.

Nohl die werkt bij het Duitse Security Research Labs was degene die het lek aan het licht bracht. Via dit lek was het mogelijk om van afstand toegang te krijgen tot een simkaart en deze te clonen. Een lek dat de complete beveiliging van de simkaart buitenspel zet. Nohl zou eigenlijk nog enkele demonstraties geven van het lek maar dat is inmiddels erg lastig geworden, omdat vrijwel alle telecomproviders het lek hebben gedicht. De providers hebben veel geluk gehad dat ze het lek op afstand kunnen dichten, anders hadden ze mogelijk alle simkaarten moeten vervangen wat een flinke kostenpost met zich meebrengt.

De simkaarten maken gebruik van een oude DES-encryptie uit de jaren 70. Deze is inmiddels zeer eenvoudig te kraken. Nohl had een manier bedacht om een SMS-bericht te sturen naar een telefoon die vervolgens wordt geweigerd en gerouterneerd naar de afzender. In die retour SMS is vervolgens een sleutel te vinden waarmee de mobiele telefoon is over te nemen.

Nohl werkt met een klein onderzoeksteam en deed drie jaar onderzoek voordat het dit lek kon blootleggen en in staat was het lek te misbruiken. Nohl heeft overigens geen kwade bedoelingen, alle lekken die zij melden worden gemeld aan de verantwoordelijke instanties, zodat deze het lek kunnen dichten.