En tysk ekspert innen sikkerhet i mobile nett, Karsten Nohl, holdt i går kveld en demonstrasjon for Chaos Computer Club der han påviste en metode for å kapre og fjernstyre opptil flere hundre tusen mobiltelefoner i løpet av svært kort tid.
Demonstrasjonen er omtalt i Financial Times, Reuters og Daily Mail.
Nohl ble verdensberømt i august 2009, da han lanserte et internasjonalt prosjekt for å tvinge GSM-operatører til bedre nettsikkerhet. Året etter var det klart at forskerne hadde lyktes i å knekke GSMs krypteringsalgoritme A5/1, og dermed åpne for avlytting av samtaler i nettet.
Les også:
- [22.07.2013] Knekker SIM-kort
Resultatene av dette prosjektet er presentert på nettsidene til Security Research Labs (SRL) der Nohl arbeider i dag.
Siden har mobiloperatører i det stille bedret sikkerheten i sine GSM-nett.
Demonstrasjonen i Chaos Computer Club i går kveld er også motivert av et ønske om å presse operatørene til bedre sikkerhet. Den viste nye måter å utnytte kjente sårbarheter innen GSM-teknologien til ulike typer svindel, der fjernstyrte mobiler tvinges til for eksempel samspill med dyre teletjenester eller masseutsending av tekstmeldinger.
Deltakerne på møtet ble ikke gjort kjent med alle detaljer om Nohls framgangsmåte, men fikk tilstrekkelig innsyn til å kunne reprodusere tilsvarende angrep i praksis i løpet av noen få uker.
Nohl og kollegaene hans i SRL har kartlagt 32 mobiloperatører fordelt på 11 land – Belgia, Frankrike, Italia, Marokko, Slovakia, Sveits, Thailand, Tsjekkia, Tyskland, Ungarn og Østerrike – utfra hvordan deres nettverk er mottakelig for kapring av mobiltelefoner.
Ifølge Nohl tilbyr ingen av operatørene tilstrekkelig vern. Resultater av undersøkelsen er gjengitt på GSMmap.org.
Forskerne sier det burde være forholdsvis enkelt for operatørene å bedre sikkerheten: Det kan stort sett gjøres gjennom programvareoppdateringer.
Bransjeforeningen for GSM, GSM Association (GSMA) sier i en erklæring sendt ut i forkant av demonstrasjonen til Nohl at de ikke venter å få framlagt noe som vil endre på deres oppfatning av sikkerheten i GSM. Det går ikke fram av uttalelsen hvorvidt de har sett demonstrasjonen eller ikke.