Kraja mobilne identitete
Matej Kovačič
16. sep 2004 ob 10:47:25
Crypto-Gram piše o novem načinu ponarejanja identitete s pomočjo mobilnih telefonov.
Schneier namreč poroča, da je nekdo iz Finske ugotovil, da imajo mobilni telefoni znamke Nokia pomembno pomanjkljivost. Ko namreč telefon sprejme klic, v imeniku preveri ali ima vpisano klicočo številko in če jo ima, na zaslonu izpiše ime klicatelja. Vendar pa 'Caller ID' funkcija deluje nepopolno. Mobilni telefon namreč v imeniku ne preveri celotne številke, pač pa samo telefonsko številko in zadnjo cifro omrežne številke.
Konkretno to pomeni, da se bonekomu, ki ima v imeniku pod številko 031 123456 vpisano ime A, in ga pokliče nekdo iz številke 041 123456, na zaslonu telefona izpisalo ime A. Zadeva deluje tako za telefonske klice, kot za pošiljanje SMS sporočil.
Napad pa smo preiskusili tudi sami in dejansko deluje tudi v Sloveniji in to ne samo z mobilnimi telefoni znamke Nokia. Pri preiskusu sta bila uporabljena telefona znamke Siemens in Nokia, zelo verjetno pa so ranljivi tudi drugi telefoni.
Preiskus je potekal tako, da je prva oseba v telefon vpisala število klicatelja, ki je klical iz omrežne skupine 031. V primeru, da je bila v pomnilnik telefona vpisana omrežna skupina 041, 051, ali celo 091, sta oba telefona izpisala ime klicatelja iz pomnilnika, ne glede na vpisano omrežno skupino. V primeru, da je bila v telefon vpisana omrežna skupina 040, 050, itd, pa telefon ni našel imena v pomnilniku in je (pravilno) izpisal telefonsko številko klicatelja.
Kaj to pomeni v praksi? Če napadalec ve telefonsko številko žrtve in uspe dobiti SIM kartico z enako številko iz druge omrežne skupine, bi lahko osebam, ki imajo žrtvino telefonsko številko v pomnilniku svojega mobilnega telefona pošiljal lažna SMS sporočila. Vsekakor zanimiv način kraje identitete, ki bi imel lahko v nekaterih primerih za žrtve precej resne posledice.
Kakšna je že telefonska številka predsednika vlade in njegove tajnice?