Security Research Labs (SRL) heeft een groot gat ontdekt in de beveiliging van SIM-kaarten, waardoor wereldwijd wel een half miljard mobiele telefoons getroffen zou kunnen zijn. Zoveel mobieltjes gebruiken namelijk nog SIM-kaarten met de al sinds lange tijd als onveilig bestempelde DES-versleuteling, die gebruikt wordt bij het communiceren met een telecomprovider.
Door een gemanipuleerd sms’je te sturen naar zo’n SIM-kaart is de interne sleutel te achterhalen en te kraken, aldus beveiligingsonderzoeker Karsten Nohl. Vervolgens kan de aanvaller de telefoon highjacken door een configuratie-sms te sturen dat ogenschijnlijk van de telecomprovider afkomt . Daarna kan hij bijvoorbeeld dure premiums-sms’jes versturen of een continue positiemelding activeren. Ook kan hij Java-apps op deze manier installeren, wat nog meer gevaar kan opleveren omdat bij twee typen kaarten de Java-VM zoveel fouten heeft dat een Java-trojan uit de sandbox zou kunnen uitbreken en zelfs de masterkey van de SIM-kaart zou kunnen uitlezen. Het is daarom te hopen dat telecomproviders de verouderde DES-versleuteling snel vervangen door een nieuwere encryptiestandaard.
Om welke generatie(s) telefoons gaat dit dan? Hoe kun je als gebruiker nagaan of die gevaarlijke DES versleuteling op het eigen toestel ja/nee zit?