Hace 3 días os informábamos de un fallo de seguridad descubierto en unas determinadas tarjetas SIM que permitía infectarlas con un virus para obtener el control remoto de estas. Aunque este fallo no estaba presente en el 100% de los usuarios y variaba mucho de unas localizaciones a otras, el número estimado de afectados rondaba los 500 millones.
El error se producía a la hora de obtener el código de seguridad mediante un fallo en la forma de cifrado (que es de los años 70) que permite conocer la clave de seguridad de las tarjetas. Esta se puede obtener, por ejemplo, al enviar una falsa actualización vía OTA a los dispositivos, que al detectar ser errónea devuelve un mensaje de error con esta clave.
Según el mismo investigador que ha descubierto el fallo, este debería ser también sencillo de arreglar por parte de los operadores. De igual forma que para obtener la clave se puede utilizar la transmisión de datos vía OTA, para solucionar este error se puede utilizar también una actualización OTA de la tarjeta SIM.
http://www.redeszone.net/wp-content/uploads/2013/07/SIM_foto.jpg
A través de una comunicación OTA, los operadores pueden deshabilitar fácilmente la identificación DES de las tarjetas SIM afectadas, obsoleta desde hace 10 años, y habilitar Triple DES en dichos dispositivos. Todo esto ocurriría de forma totalmente ajena al usuario y sin tener que realizar este ninguna acción.
De esta forma, las operadoras podrían solucionar ese grave fallo de seguridad sin necesidad de necesitar la acción del usuario a través de SMS especiales que suelen utilizar, por ejemplo, para configurar el móvil de forma remota con los parámetros de red.
Por el momento sigue sin conocerse un patrón fijo de tarjetas SIM afectadas, por lo que la única forma de asegurarse de no estar afectado es pedir un duplicado en la tienda de telefonía más cercana.
http://www.redeszone.net/2013/07/25/el-fallo-de-seguridad-de-las-tarjetas-sim-tiene-facil-solucion/
Relacionado: https://foro.elhacker.net/noticias/un_equipo_de_investigadores_de_seguridad_ha_logrado_hackear_las_tarjetas_sim-t395235.0.html;msg1872591;topicseen#msg1872591