DES加密不靠谱:几条短信让SIM卡两分钟内被黑
- - 雷锋网每一个GSM手机都需要一个 SIM卡,这张卡应该不会出什么乱子把,不是这样的. 德国柏林安全研究实验室的创始人Karsten Nohl 最近发现过去SIM卡常用的DES加密存在缺陷,可让黑客两分钟内获取SIM卡数字密匙(包含56位数字),然后远程更改SIM卡芯片,进行监视和手机支付一系列黑客活动,估计全球有7.5亿手机用户将受到影响.
DES加密不靠谱:几条短信让SIM卡两分钟内被黑
标签:
业界
SIM卡
DES加密
两分钟被黑
| 发表时间:2013-07-23 18:45 | 作者:宗仁
出处:http://www.leiphone.com
每一个GSM手机都需要一个 SIM卡,这张卡应该不会出什么乱子把,不是这样的!德国柏林安全研究实验室的创始人Karsten Nohl 最近发现过去SIM卡常用的DES加密存在缺陷,可让黑客两分钟内获取SIM卡数字密匙(包含56位数字),然后远程更改SIM卡芯片,进行监视和手机支付一系列黑客活动,估计全球有7.5亿手机用户将受到影响。
具体过程
病毒隐身在一个短信上发给用户,四分之一的情况下,黑客方会收到一个“错误报告信息”,给黑客提供包含重要信息的信息量,这些可以计算出SIM的数字密匙(56位的数字序列)。有了数字密匙,就可以发送另一个短信文本,可以偷听用户的电话、监察用户的信息、产生移动购买、窃取各种各样的数据。
Karsten Nohl在实验过程中,只需一台简单的私人电脑, 这种行为可以在两分钟内搞定,只针对使用旧数据加密标准(DES)的SIM卡,使用最新三维DES的卡不会受影响。目前没有确切的数字有多少SIM卡正处于危险中,Nohl估计有多达7.5亿的手机可能容易 受到攻击。
有了这个密匙,就能远程遥控安装软件;监视用户手机;窃听电话;读取SMS消息;窃取SIM卡上的数据;代替用户执行移动支付(购物)。
DES
在60亿手机中,约一半的手机在使用DES( data encryption standard)加密;过去十年中,大多数运营商采取了一个更强的加密方法,即三重DES,但许多SIM卡仍然运行旧的DES标准。
Nohl已把该漏洞已经汇报给了GSMA,GSMA是负责GSM网络监管和部署的委员会。还转给了使用DES SIM卡的运营商和制造商。Nohl准备在即将到来的黑帽安全大会上详细讲述如何利用该漏洞远程破解用户手机。所以想知道具体结果的,还可以买门票呢。
Via nytimes
相关:
(若无特别注明, 雷锋网文章皆为原创,转载请注明出处)
原文链接: http://www.leiphone.com/k-sim-card-hack.html
| 您可能也喜欢: | ||||
 SIM卡漏洞曝光可让手机被劫持 |
 苹果开发者中心被黑仍未修复 |
 价值观在改变:美国青少年黄色短信调查 |
 三星推出新Chaton互联网短信客户端软件 |
 通过Textfree收发的免费短信达200亿条 |
| 无觅 | ||||
相关 [des 加密 短信] 推荐:
Java加解密艺术之DES对称加密算法
- - CSDN博客推荐文章加密的时候使用密钥对数据进行加密,解密的时候使用同样的密钥对数据进行解密
* @see DES是美国国家标准研究所提出的算法. 由于加解密的数据安全性和密钥长度成正比,故DES的56位密钥已经形成安全隐患
* @see 后来针对DES算法进行了改进,有了三重DES算法(也称DESede或Triple-DES).
对文件压缩加密/解密解压缩的例子,DES/RSA [转]
- - 行业应用 - ITeye博客RSA压缩加密/解压缩解密. * 对文件压缩加密/解密解压缩 对象类. // 如果传入的是目录. // 创建压缩的子目录. // 把压缩文件加入rar中. * 对directory目录下的文件压缩,保存为指定的文件zipFile. * 解压缩文件zipFile保存在directory目录下.
iOS、Android、java服务端 DES+RSA安全传输统一实现
- - 移动开发 - ITeye博客工作中遇到了安全传输问题,需要解决iOS和Android客户端跟java服务端的安全传输问题,结合对HTTPS的了解,便使用DES+RSA方式模拟HTTPS. 在实现过程中,遇到了一些瓶颈,主要是保持平台兼容性的问题,Android和服务的还可以,统一使用java API,但要包含iOS就比较麻烦了,参考了网上很多资料,忙了三四天,终于搞通了.
监听短信
- - CSDN博客推荐文章在监听短信在这个功能中,通知观察者的工作已经有别人做好,我们只需要注册一个观察者即可. System.out.println( new Date(date)+" 您收到 " + address +"给你发的一封短信,短信内容为: \n" +body );. 最后千万别忘了在清单文件上加上所需要的相应权限.
Android 短信发送
- - CSDN博客推荐文章在AndroidMainfest.xml中应加入:. . 作者:h7870181 发表于2012-11-7 22:13:25 原文链接. 阅读:5 评论:0 查看评论.
加密锁和云授权
- MArCoRQ - 月光博客 在中国,加密锁仍然是占主导地位的软件保护方式. 近30年来,计算机硬件不知更新了多少代,软件技术也从上世纪90年代起进入了互联网时代,而加密锁保护方式却一直没有改变,顶多从原先的并口锁进化到USB锁,这是为什么呢. 这是因为,30年来,软件的盗版依然存在,人们却没有找到应对盗版更好的办法. 另外,传统的观念认为,加密锁具有安全强度高、软件授权可随加密锁移动使用优点.
Google升级HTTPS加密
- 请叫我火矞弟 - Solidot民不拜天又不拜孔子留此膝何为 写道 "Google 修改了启用HTTPS服务的加密方法,以应对未来技术发展后可能造成的解密行为. 这项升级适用于Gmail、Docs和Google+. 现在的HTTPS实现借助于只有域名主人所掌握的私钥生成的session key来加密服务器和客户端之间的流量. 这种方法使得连接可能被所谓“追溯式解密攻击”(retrospective decryption attack)破解.
透明数据加密
- - CSDN博客数据库推荐文章透明数据加密 . 常见问题解答. 数据在网络上依然是加密状态吗. 任何人只要获得应用程序的授权就能对数据进行解密吗. TDE 与 Oracle 提供的加密方法有何不同. 哪些加密算法可与 TDE 一同使用.
银联加密算法
- - CSDN博客推荐文章很多人对银联卡的加密算法感兴趣,毕竟分分钟涉及的都是你的钱的安全,但网上很少人却讲银联标准加密算法. 遂写一遍当做是自己的学习笔记,偶尔忘了可以翻翻,同时希望能够帮助到其他人. 首先要认识一下cbc算法和ecb算法. cbc算法是链式的,慢,不可并行处理,但更安全,因为每一次加密都是依赖于上一次的结果,同时这也会导致一次错将导致后面的全部错误.