Haavoittuvuudessa oli kyse yksinkertaistetusti sanottuna siitä, että tietyt DES-salausta käyttävät kortit vastasivat lähetettyihin allekirjoitettuihin viesteihin sähköisesti allekirjoitetulla vastauksella, jonka avulla on mahdollista selvittää salausavain. Salausavainta käyttämällä voidaan kortille asentaa haitallista koodia, joka mahdollistaa puheluiden ja tekstiviestien reitittämisen sekä puhelu- ja datauyhteyksien avaamisen.
Black Hat -konferenssissa haavoittuvuutta esitellut Nohl kertoi muutaman suuren operaattorin korjanneen ongelmaan. Kalliiseen SIM-korttien vaihtoruljanssiin ei lähdetty, vaan operaattorit käyttivät Nohlin havaitsemaa Java-aukkoa hyväksi asentaakseen korjauskoodin SIM-korteille.
Suomessa haavoittuvia SIM-kortteja on käytössä Cert-fin mukaan vähän. Haavoittuvuuden alttiit kortit on myönnetty vuosina 2001–2007.
Kommentit (8)
Vaikka tarkoitus on hyvä niin eiköhän tuossakin rikottu lakia.
Siis kenen luvalla operaattori asentaa omiaan sinne asikkaan käynnykään (SIM:lle) käyttäen hyväksi tunnettua aukkoa?
1@
>Siis kenen luvalla operaattori asentaa omiaan sinne asikkaan
>käynnykään (SIM:lle) käyttäen hyväksi tunnettua aukkoa?
Kyllä he saavat omaan korttiinsa asentaa, ja hyvin usein myös tekevät niihin etänä päivityksiä.
@2: Juurikin näin, käsittääkseni operaattori omistaa sen kortin ja TOS todnäk sisältää oikeuden tehdä muutoksia liittymään ja korttiin aivan juuri niinkuin operaattori haluaa.
Koska juuri kukaan ei koskaan lue sitä sopimusehtonivaskaa joka liittymän mukan toimitetaan, lainataan tässä nyt Elisan kyseisen sopimuksen paria kohtaa: (Samanlaiset ehdot löytyvät kyllä kaikkien operaattoreiden sopimusehdoista. SIM kortti on kaikilla operaattorin omaisuutta.)
4.5 Palvelun toiminnallisuuteen vaikuttavia
keskeisiä seikkoja
...Elisa saa tehdä palveluihinsa ja älykorttiin, esim. simtekniikkaan ja sen käyttöön, vaikuttavia vähäisiä muutoksia,
joilla ei ole vaikutusta sopimuksen keskeiseen sisältöön
SIM-kortti
Liittymän SIM-kortin omistaa Elisa.SIM-kortin tai muun tunnisteen korjaamisesta, uusimisesta ja
vaihdosta Elisa laskuttaa hinnastonsa mukaisesti.
Kun hyväksyy sopimuksen operaatorin kanssa, hyväksyy myös kyseiset sopimusehdot.
@1
Sun omalla luvalla. Sitä varten ne sopimukset pitäis lukea juurta jaksaen :P
Mikäs tässä mättää? Heittäytymällä jonkun operaattorin tilaajaksi,olet tietenkin sen toimintasääntöjen varassa. Ja maksat siitä x €.
Mitkäs mahtaisivat olla vaihtoehdot? Oma verkko? :D
Hyvä, että korjasivat asian, nyt on taas yksi ongelma ratkaistu :)
Ymmärsinkö oikein, että löydetty aukko korjattiin löydetyn aukon avulla?
Jotenkin huvittavaa, jos näin tapahtui.