Essa definitivamente tem sido uma semana difícil para os especialistas em segurança. Primeiro, no domingo (21), o fórum da Canonical foi invadido por hackers. Hoje a Apple confirma que dados de seus desenvolvedores foram roubados por usuários mal-intencionados e agora encontram uma vulnerabilidade em cerca de 750 milhões de cartões SIM que, se explorada, pode levar a roubo de dados e à quebra da privacidade do dono do SIM.
A falha está relacionada à tecnologia DES (Data Encryption Standard) presente em grande parte dos SIM ativos no mundo, embora esteja sendo substituida por um modelo mais seguro. Com a quebra dessa criptografia, é possível que algum hacker mal-intencionado mande comandos para o celular através do mesmo método que as operadoras usam para fazer alterações nas políticas da linha móvel remotamente: Mandando uma SMS com conteúdo binário, invisível ao usuário. A descoberta foi feita por Karsten Nohl, fundador da empresa alemã Security Research Labs.
Ainda que o número assuste, os 750 milhões de chips equipados não correspondem ao total de aparelhos nos quais o DES é presente. Essa estimativa foi feita porque Nohl, ao testar a falha com mais de 1000 cartões SIM na Europa e nos Estados Unidos durante os dois últimos anos. Aplicando a taxa de sucesso aos três bilhões de chips com o DES, chega-se a assustadora estimativa de 750 milhões de telefones vulneráveis.
Como estes chips já estão em circulação, é difícil lançar uma correção para os que estão suscetíveis à falha. Para a segurança dos usuários, a melhor atitude a ser tomada deve partir das operadoras, buscando substituir os SIM antigos por versões mais novas que contam com técnicas de encriptação mais seguras. Em geral, todos os cartões mais recentes já operam com encriptação AES ou triple-DES, que corrigem a falha anunciada hoje. Mais detalhes sobre como funciona a vulnerabilidade deverão ser dados pelo próprio Nohl durante a Black Hat, conferência de hacking e segurança que irá se realizar no começo de Agosto.
