Trên 750 triệu điện thoại di động trên thế giới mang thẻ SIM bị lỗi lập trình khiến cho chủ nhân dễ bị kẻ xấu lừa đảo. Lỗi điện tử này cho phép tin tặc truy cập từ xa dữ liệu cá nhân người dùng và thực hiện các giao dịch bất hợp pháp trong vòng có vài phút.
Liên minh Viễn thông Quốc tế (thuộc Liên Hợp Quốc) sẽ gửi cảnh báo tới các hãng điện thoại di động sau khi được chuyên gia phá mã người Đức Karsten Nohl cung cấp nhiều bằng chứng về lỗi thiết kế này.
Lỗi trên ảnh hưởng đến thẻ SIM, tức bảng mạch bằng nhựa chứa các dữ liệu cốt yếu về người sử dụng điện thoại, cũng được coi là phần an toàn nhất của điện thoại.
Hiện rất khó xác định chiếc SIM mà ta đang sử dụng có an toàn hay không (ảnh: AFP) |
Bằng việc tìm ra khóa mã duy nhất của mỗi thẻ SIM chỉ với một tin nhắn ẩn, chuyên gia Nohl có khả năng kiểm soát hoàn toàn 1 chiếc điện thoại di động cá nhân.
“Chúng tôi trở thành chính thẻ SIM. Chúng tôi có thể làm bất cứ thứ gì mà người dùng điện thoại bình thường có thể làm,” Nohl nói với hãng tin Reuters. Anh cho biết: “Nếu bạn có số thẻ MasterCard hay dữ liệu PayPal trên điện thoại thì chúng tôi cũng nắm được.”
Khiếm khuyết này có thể bị lợi dụng để lừa đảo tài chính hoặc giám sát bí mật.
Nohl giải thích với tờ New York Times: “Chúng tôi có thể cài đặt từ xa phần mềm lên một thiết bị nghe hoạt động hoàn toàn độc lập với điện thoại của bạn. Chúng tôi có thể theo dõi bạn. Chúng tôi biết khóa mã cho các cuộc gọi và đọc được tin nhắn của bạn. Không những vậy, chúng tôi còn có thể ăn cắp dữ liệu trong thẻ SIM, các thông số máy điện thoại.”
Hacker “mũ trắng” Nohl, 31 tuổi, đã đột nhập vào hệ thống bảo mật, khai thác các lỗ hổng, và trưng các phát hiện của mình ra cho các công ty xem.
Nohl cho biết nhóm của anh đã xâm nhập thành công thẻ SIM từ năm 2011, sử dụng kỹ thuật lập trình qua sóng điện (OTA) – tức các tin nhắn vô hình được các nhà cung cấp dịch vụ điện thoại phát đi để thay đổi các thiết lập trên điện thoại trong phạm vi phủ sóng của họ.
Nohl thừa nhận nhóm của anh ta từng suýt từ bỏ ý tưởng hack vào hệ thống mật mã tiêu chuẩn được sử dụng nhiều nhất này. Nhưng cuối cùng tình cờ họ phát hiện được 1 lỗi hệ thống.
Nohl nhận thấy khi cố gắng gửi lệnh OTA sai, anh sẽ nhận được 1 tin nhắn sai chứa mã duy nhất thuộc mỗi điện thoại – mã ảo của chiếc máy đó.
Mã này dễ bị bẻ. Nohl nói quá trình này với anh chỉ mất 1 phút. Với chiếc điện thoại trong tay, anh có thể ra lệnh cho nó thực hiện bất cứ điều gì thông qua máy tính cá nhân, mà không hề làm cho người dùng nghi ngờ có điều gì đó bất thường xảy ra.
Nohl đã nghiên cứu hơn 1.000 thẻ SIM nhưng không phải SIM nào cũng mắc lỗi này. Tuy nhiên vị chuyên gia này ước tính lỗi này có ở ¼ số SIM dùng Chuẩn Mã hóa Dữ liệu (DES) – chuẩn an ninh này đang được loại bỏ dần nhưng vẫn còn được khoảng 3 tỷ máy sử dụng. Đó là lý do Nohl ước tính 750 triệu người sử dụng điện thoại đang gặp nguy hiểm. Thêm nữa, không dễ gì để chủ nhân thẻ SIM theo chuẩn DES xác định được máy điện thoại có lỗ hổng an ninh.
Chuyên gia an ninh này đã thông báo riêng cho nhà chức trách về các phát hiện của mình thông qua 1 khâu có tên gọi “tiết lộ có trách nhiệm”. Anh này tin là các hacker sẽ phải mất 6 tháng nữa mới lặp lại được những gì anh đã làm được, giúp các nhà sản xuất có lợi thế đi trước tin tặc. Nohl sẽ thông báo chi tiết việc đột nhập của mình tại 1 hội nghị tin tặc có tên Black Hat khai mạc ở Las Vegas vào cuối tháng 7.
Trong khi các công ty hàng đầu đã ra thông cáo thừa nhận lỗi kỹ thuật này và tuyên bố họ đang tìm cách loại bỏ lỗ hổng này, giới chức đã kêu gọi người sử dụng bình thường hãy bình tĩnh và lưu ý rằng cho đến nay chưa có thiệt hại nào do tội phạm gây ra./.