Una grave vulnerabilidad de las tarjetas SIM afecta a 500 millones de usuarios

1, 2, 3
4ingeru escribió:
DeFT escribió:Me alegro de ser prepago y tener un móvil pre-android (:



Esto no tiene nada que ver con android.


Ademas de eso, Android es un nido de maldware
A ver....que esto no tiene nada que ver si con android ni con telefonos ni con operadoras ni con na de na....tiene que ver solo y exclusivamente con la tarjeta sim., da lo mismo que tengas un motorola ladrillo de hace 10 años que un htc one. Si tiene SIM, PUEDE ser vulnerable

La sim es ella solita un "pequeño ordenador" que tiene programas dentro y puede darle ordenes al teléfono de hacer ciertas cosas. Este pequeño ordenador funciona con java. pero la vulnerabilidad no tiene nada que ver con el java en si, tiene que ver con como se identifica la "central" con la tarjeta para incorporarle actualizaciones o nuevos programas a través de un tipo de SMS. La central se identifica con un cifrado DES con clave única para cada tarjeta y bajo ciertas condiciones ese cifrado se puede romper y cualquiera enviarle un SMS simulando ser la "central"

Ahora imagina que te envian un programa a la sim que diga "una vez al dia manda un sms al numero xxxxxxxxx" que es un sms premium. El programa se ejecuta, da las ordenes pertinentes al telefono SEA EL MODELO QUE SEA y envia el sms. Ya te han jodido.

De momento el método no es publico, aunque pistas han dado mas de la cuenta.
Putada. La mía tiene ya sus añitos, pero siempre tengo poco saldo, así que si me quitan algo no será mas de 5-6€
Café con Leche escribió:ENTRE la chapuza de android, que nos tiene vendidos y esto de las sims. Madre mia. [mad]



Lo más importante de todo ésto es saber qué sims están afectadas para proceder a su cambio... lo malo es que imagino que dependerá del fabricante "chip" de la sim, por lo que me temo que será realmente dificil detectarlas por los operadores.

En fin.. X[

Un saludo.
Esto es más grave de lo que parece,esperemos que las compañias lo arreglen pronto y por supuesto gratuítamente,que sera dificil,pero buen que hagan algo YA!
Vaya tela marinera, desde luego las compañías tienen que estar poniendo pies en polvorosa, ya que el asunto podría ser muy serio.
La capacidad de comprensión lectora de alguna gente por aquí es de 0 para abajo...
QUE NO TIENE NADA QUE VER CON ANDROID...
Sigo sin entender la razón del por que algunos metéis Android con este tema. iOS también tiene fallos, y Windows Phone, y todo sistema operativo, incluso GNU/Linux y quien diga lo contrario miente.

Se trata y se habla de la SIM, que usa un cifrado de hace ~40 años y ha sido roto, no del teléfono X o Y o del S.O. pepito y/o fulanito.

Algunos parecéis trolls, leches!.
Hola Men escribió:La capacidad de comprensión lectora de alguna gente por aquí es de 0 para abajo...
QUE NO TIENE NADA QUE VER CON ANDROID...


cierto... pero será de las pocas veces, hablando de problemas de seguridad, en la que android no enga nada que ver.

no obstante quizá ios o android pueda agregar alguna capa de protección..

Un saludo.
Bueno la mía es de prepago y la cargo con 10€ cuando me avisan que no hay saldo, pero es una putada para todos, sobre todo los de contrato, a ver que operadoras son las mas afectadas y que medidas toman rápidamente.

Un saludo
josesoria escribió:Bueno la mía es de prepago y la cargo con 10€ cuando me avisan que no hay saldo, pero es una putada para todos, sobre todo los de contrato, a ver que operadoras son las mas afectadas y que medidas toman rápidamente.

Un saludo

Otro de prepago aquí... lo que espero es que las operadoras no se laven las manos sobre todo este asunto :-| .
futuro mad max escribió:
4ingeru escribió:
DeFT escribió:Me alegro de ser prepago y tener un móvil pre-android (:



Esto no tiene nada que ver con android.


Ademas de eso, Android es un nido de maldware

Que cuenta por si fuese poco con parte de código desarrollado por la NSA. Me cuesta creerlo pero está en varios medios internacionales importantes la noticia.
Aquí otro más de prepago, sin problemas XD , poco me van a quitar, prácticamente siempre la tengo vacía!
Tails escribió:
biofreak escribió:Dan ganas de no tener nada actual y volver a la vida de hace 20 años. Cosa que sale cosa que o te puede arruinar la vida o la cartera.

Seríamos capaces? Ya nos tienen bien enganchados, pero quizás con fuerza de voluntad...

El precio de la era digital quizás sea este.

Yo de momento no tengo smartphone ni tablet ni siquiera reproductor mp3 XD, aguanto con mi telefono con bateria que dura 15 días y va de lujo, aunque a veces se hace un poco duro la verdad.
coyote escribió:Sigo sin entender la razón del por que algunos metéis Android con este tema. iOS también tiene fallos, y Windows Phone, y todo sistema operativo, incluso GNU/Linux y quien diga lo contrario miente.

Se trata y se habla de la SIM, que usa un cifrado de hace ~40 años y ha sido roto, no del teléfono X o Y o del S.O. pepito y/o fulanito.

Algunos parecéis trolls, leches!.


~40años, jajajajajaja.
jajajajaja
jajajajajajajaja
jaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaajajajajajaaaaaaaaaaaaaaaaaaa


jajajajajaja

¿Qué imperiosa necesidad motivará a algunos a hablar de lo que profundamente desconocen?.
Blue777 escribió:
coyote escribió:Sigo sin entender la razón del por que algunos metéis Android con este tema. iOS también tiene fallos, y Windows Phone, y todo sistema operativo, incluso GNU/Linux y quien diga lo contrario miente.

Se trata y se habla de la SIM, que usa un cifrado de hace ~40 años y ha sido roto, no del teléfono X o Y o del S.O. pepito y/o fulanito.

Algunos parecéis trolls, leches!.


~40años, jajajajajaja.
jajajajaja
jajajajajajajaja
jaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaajajajajajaaaaaaaaaaaaaaaaaaa


jajajajajaja

¿Qué imperiosa necesidad motivará a algunos a hablar de lo que profundamente desconocen?.

Hombre, si no son 40 dinos tu cuantos son no ¿?
Blue777 escribió:
coyote escribió:Sigo sin entender la razón del por que algunos metéis Android con este tema. iOS también tiene fallos, y Windows Phone, y todo sistema operativo, incluso GNU/Linux y quien diga lo contrario miente.

Se trata y se habla de la SIM, que usa un cifrado de hace ~40 años y ha sido roto, no del teléfono X o Y o del S.O. pepito y/o fulanito.

Algunos parecéis trolls, leches!.


~40años, jajajajajaja.
jajajajaja
jajajajajajajaja
jaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaajajajajajaaaaaaaaaaaaaaaaaaa


jajajajajaja

¿Qué imperiosa necesidad motivará a algunos a hablar de lo que profundamente desconocen?.


Como bien ha dicho coyote:
http://es.wikipedia.org/wiki/Data_Encryption_Standard

Wikipedia escribió:
Los orígenes de DES se remontan a principios de los 70. En 1972, tras terminar un estudio sobre las necesidades del gobierno en materia de seguridad informática, la autoridad de estándares estadounidense NBS (National Bureau of Standards) — ahora rebautizado NIST (National Institute of Standards and Technology) — concluyó en la necesidad de un estándar a nivel gubernamental para cifrar información confidencial. En consecuencia, el 15 de mayo de 1973, tras consultar con la NSA, el NBS solicitó propuestas para un algoritmo que cumpliera rigurosos criterios de diseño. A pesar de todo, ninguna de ellas parecía ser adecuada. Una segunda petición fue realizada el 27 de agosto de 1974. En aquella ocasión, IBM presentó un candidato que fue considerado aceptable, un algoritmo desarrollado durante el periodo 1973–1974 basado en otro anterior, el algoritmo Lucifer de Horst Feistel. El equipo de IBM dedicado al diseño y análisis del algoritmo estaba formado por Feistel, Walter Tuchman, Don Coppersmith, Alan Conheim, Carl Meyer, Mike Matyas, Roy Adler, Edna Grossman, Bill Notz, Lynn Smith, y Bryant Tuckerman.


Bueno 2013-1974=39 años!
Es normal que todavia se tengan muchas sim antiguas, en muchos paises la gente aguanta la sim que tiene hasta que deja de ser compatible con los nuevos dispositivos, (sobre todo paises que el dinero no sombra). sin ir más lejos mi sim tiene ya unos 11 años y funciona aún de lujo, es normal no cambiarla sino la pierdes....o eres de los que van saltando de compañia en compañia
biofreak escribió:Yo de momento no tengo smartphone ni tablet ni siquiera reproductor mp3 XD, aguanto con mi telefono con bateria que dura 15 días y va de lujo, aunque a veces se hace un poco duro la verdad.

Y dale, que no tiene nada que ver si el teléfono tiene 100 años como si es de hace dos días.

Blue777 escribió:~40años, jajajajajaja.
jajajajaja
jajajajajajajaja
jaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaajajajajajaaaaaaaaaaaaaaaaaaa


jajajajajaja

¿Qué imperiosa necesidad motivará a algunos a hablar de lo que profundamente desconocen?.

Si leyeras en vez de hacer el tonto, mejor. Sin acritud.

Te remito a la wikipedia: http://es.wikipedia.org/wiki/Data_Encryption_Standard (otra vez).
mp3xplosion escribió:Es normal que todavia se tengan muchas sim antiguas, en muchos paises la gente aguanta la sim que tiene hasta que deja de ser compatible con los nuevos dispositivos, (sobre todo paises que el dinero no sombra). sin ir más lejos mi sim tiene ya unos 11 años y funciona aún de lujo, es normal no cambiarla sino la pierdes....o eres de los que van saltando de compañia en compañia


Pues mi SIM es del año de la catapum, de cuando aun existía Amena (la vieja xD). Me compré el primer móvil con el sistema DUO de Amena con mi hermana.....y la SIM ha ido subsistiendo de móvil en móvil....y no me ha dado nunca ningun problema. Es del año 1999, aproximadamente.

Ahora me imagino que será de las más vulnerables. A la mínima que vea movimientos raros en el total de gasto mensual o en mi cuenta corriente, lo revoco todo por el banco.

Alguien se va a hacer rico moviendo esta info...si saben a quien venderla...
Que tengo que hacer para que le manden el Sms ese al número de mi ex ???
gnet escribió:
Hola Men escribió:La capacidad de comprensión lectora de alguna gente por aquí es de 0 para abajo...
QUE NO TIENE NADA QUE VER CON ANDROID...


cierto... pero será de las pocas veces, hablando de problemas de seguridad, en la que android no enga nada que ver.

no obstante quizá ios o android pueda agregar alguna capa de protección..

Un saludo.


Se te ve entendidísimo Imagen

Respecto al fallo de seguridad, ahora mismo tengo 1,64€ de saldo y no ppienso recargar hasta que me llegue el mensaje de que se me caduca [hallow]
coyote escribió:Si leyeras en vez de hacer el tonto, mejor. Sin acritud.

Te remito a la wikipedia: http://es.wikipedia.org/wiki/Data_Encryption_Standard (otra vez).


Tela.
Bien, por partes:
Java Card:
Se desarrolla en 1996 y la primera tarjeta presentada con Java Card fue entre 1996 y 1997.
Cifrados soportados: DES, AES, 3DES, RSA, entre otros.

Para los rezagados:
Publicación de Java Card 1996.

Para las víctimas de la LOGSE.
Las puertas acorazadas soportan estar abiertas. Las puertas abiertas existen desde bastante antes de Cristo.
¿Las puertas acorazadas existen desde antes de Cristo?.
NO.

Java Card soporta DES como también soporta texto plano, por soportar soporta.
¿Nuestras tarjetas SIM tienen cifrado de los 70's o 80's...?
NO.

¿Los cifrados actuales son vulnerables?
Sí.
Aporto datos, lamento no usar los "papers científicos" que los iluminados usan aquí como wikipedia.

http://www.3gpp.org/ftp/tsg_sa/wg3_secu ... 030534.pdf

http://hal.archives-ouvertes.fr/docs/00 ... konJC3.pdf

¿Nuestras SIM, adquiridas hoy, hace un año o hace 25 años usan cifrados de hace 40 años?.
NO.

Sobre su inútil intento de insulto, al cometer el despropósito de intentar referir hacia mi persona el término "tonto", no entraré, pues para retratarse se basta usted.

Atrevida es la ignorancia, que algunos insisten en no abandonarla.
Me refería al cifrado, no a la SIM. No leas entre líneas.

No obstante, tu actitud en el post con tantos JAJA deja mucho que desear. ¿Pudiste poner toda esa info en vez de mofarte? SI, pero preferiste esto último.

Blue777 escribió:pues para retratarse se basta usted.

Como se dice, habló.

Y no sigo a ver si me va a caer algún ban.
Menos mal que tengo un Nokia del año la chorra...
franjart escribió:Menos mal que tengo un Nokia del año la chorra...

Te afecta igualmente.
Menos mal que tengo un iphone xD.
Y yo tengo un Ericsson T10.

Nah, lo dejo porque si no me dará algo xD

No leáis, total 'pa' que. [hallow]
Bienvenidos a la era de las telecomunicaciones [cartman]
coyote escribió: Se trata y se habla de la SIM, que usa un cifrado de hace ~40 años


coyote escribió:Me refería al cifrado, no a la SIM. No leas entre líneas.


Usted habla del cifrado de la SIM.

Leer entre líneas es sano y positivo.

coyote escribió: Y no sigo a ver si me va a caer algún ban.


No creo, no hay motivo para ello. Que pase una buena noche.

Natsu escribió: Bienvenidos a la era de las telecomunicaciones


http://www.youtube.com/watch?v=CW63MlEyhu0
Y la base de ese cifrado es la que se usa, sea modificado, ajustado, adaptado en 1996 o no, y he ahí el quid de la cuestión. ;)

Si reformas una casa pero los cimientos están mal, al final la casa caerá.
coyote escribió:Y la base de ese cifrado es la que se usa, sea modificado, ajustado, adaptado en 1996 o no, y he ahí el quid de la cuestión.


No, la cuestión es que las nuestras SIM no usan ese cifrado, aunque lo soporten.

Me arriesgaría a opinar sin asegurar que quien usaba en los primeros 80's los teléfonos portátiles con base para coche, prácticamente exclusivos para asuntos de faldas de altos directivos, y en otros dispositivos para algunos usos militares, muy concretos, podrían estar afectados. Pero como no tengo esa información me aventuraría mucho si lo afirmase. Si a alguien le interesara, podría consultarlo para obtener la información exacta.
En todo caso quedaría por confirmar que operadores usan el cifrado afectado en caso de usarlo. Es posible que para Android e iOS salga alguna APP para averiguarlo.

No obstante, cuando la noticia habla de un % de SIM afectadas, es que de algún modo lo siguen usando, en caso contrario, nos importaría un pimiento.

http://en.wikipedia.org/wiki/Subscriber ... e#Security

In July 2013 it was revealed that Karsten Nohl, a cryptographer and security researcher from SR Labs, had discovered vulnerabilities in some SIM cards that enabled them to be hacked to provide root access. The cards affected use the Data Encryption Standard (DES) which, despite its age, is still used by some operators.
joder esto es mas viejo que el sol,esto se savia desde la epoca de los nokias 3310,pero jamas se a visto un caso
Luego nunca pasa nada.....bueno si, que alguna compañia se hace de oro vendiendo antivirus, o en este caso duplicados de SIM

Una manera mas de vender...con miedo. Suele funcionar
Kin está baneado del subforo por "faltas de respeto"
También tengo una SIM de hace 9 años, pero me la pela la vulnerabilidad, si pasa algo el operador que tengo se hará responsable si o si y punto.
Kin escribió:También tengo una SIM de hace 9 años, pero me la pela la vulnerabilidad, si pasa algo el operador que tengo se hará responsable si o si y punto .




Que Santa Lucía te conserve el oído...poque la vista YA la tienes j*dida [carcajad]

Que no digo que no tengas razón, que si el fallo está en la SIM el responsable debería ser quien te la proporcionó, pero.... conociendo cómo tratan TODAS las compañías a sus esclavos clientes ya me dirás qué puedes esperar [fumando]
menos mal que no tengo movil
(mensaje borrado)
¿Alguien con conocimientos sabría decir como podemos averiguar el cifrado que lleva nuestra SIM?

Yo también pienso que sólo las SIM del año María Castaña serán las vulnerables que usen "DES" (casi nada, un cifrado del 76). Con con el resto creo que no habría problema: las semiviejas usarán "Triple DES" (cifrado del 99) y las nuevas usarán "AES". Aún así creo que estaría bien saberlo con certeza aunque sólo sea para quedarse uno tranquilo.
eR_pOty escribió:pues yo pienso que si encima se publican estas noticias se van a enterar mas "criminales" que no lo sabian :-|


Me parece absurdo eso [+risas] Si eres capaz de aprovechar una vulnerabilidad en un protocolo de seguridad, posiblemente ya estés enterado de dicha vulnerabilidad bastante antes de leerlo en EOL o en cualquier periódico.
Con un lector de sim se puede comprobar, si no puedes sacar la informacion critica para clonar la sim, quiere decir que es invulnerable, y si, esta informacion solo puede extraerse en sims con sistema de seguridad obsoleto.
Increiblemente aqui en Costa Rica por lo menos las sims del ICE son invulnerables a este ataque.

Saludos
Uffff, menos mal que cambié de compañía el año pasado. Supongo que las SIMs nuevas ya no usarán el mismo protocolo, ¿no?
Supongo que las microSIM tendrán el mismo problema, aunque son más pequeñas, el chip integrado es el mismo... y supongo que el software, ya que por ejemplo para mi iphone, corte mi SIM para convertirla en microSIM....
No tengo mas de 2 euros de saldo.
Ahora vas y me lo robas [plas]


Pero si, realmente es un tema serio, espero que se mojen y lo solucionen rapido
Chicos, esto huele a la NSA, jaja. Ellos seguro que ya la estan utilizando
No quiero sacar a relucir mi vena paranoica pero esto me huele a que quieren empujar a mas gente a contrato
A cuanto está el kilo de tarjeta sim?

Pues a eso nos van a cobrar las nuevas más iva.

Está claro que a falta de clientes y contratos de algún lado hay que sacar.
Pues ya pueden solucionarlo, que cobrar el duplicado bien que lo hacen, y nada menos que por 5 €, aunque la tarjeta esté jodida simplemente por el mero hecho de tener más años que matusalén. Cómo me indigna pagarlos. Espero ahora como mínimo un aviso en mi próxima factura diciéndome que me pase por cualquier tienda vodafone para que gratuitamente me cambien la sim por una más segura.
142 respuestas
1, 2, 3