安全研究
安全漏洞
SIM卡弱加密及机密信息泄露漏洞
发布日期:2013-07-22
更新日期:2013-07-26
受影响系统:SIM卡厂商 SIM Cards
描述:
SIM卡是(Subscriber Identity Module 客户识别模块)的缩写,也称为智能卡、用户身份识别卡,GSM数字移动电话机必须装上此卡方能使用。
SIM卡内的数据及应用可以通过OTA(Over-the-Air, 空中下载)技术进行远程管理,运营商可以通过OTA方式推送自定义的JAVA软件到SIM卡上以扩展用途。
部分SIM卡设计实现上存在问题,有些SIM卡使用过时的70年代的DES加密方式进行数据和应用的签名,某些情况下攻击者可能获取包含密钥信息的回应数据,轻易破解后签名恶意的应用推送到SIM卡安装执行,获取更多机密信息从而复制用户的SIM卡。
<*来源:srlabs
链接:
https://srlabs.de/rooting-sim-cards/
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 使用更先进的SIM卡。
* 手机上使用SIM卡防火墙。
* 运营商对二进制SMS基于来源进行过滤。
厂商补丁:
SIM卡厂商
---------
目前厂商还没有提供补丁或者升级程序,我们建议用户随时关注厂商的主页以获取最新版本。
浏览次数:3722
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |