MobilidadeNotíciasSegurança

Serviços secretos americanos e ingleses roubaram milhões de chaves de encriptação de cartões SIM

SIM

Segundo informações presentes nos documentos secretos divulgados por Edward Snowden, a americana National Security Administration (NSA) e o British Government Communications Headquarters (GCHQ) criaram em Abril de 2010 o Mobile Handset Exploitation Team (MHET) com o intuito de quebrar o sistema de encriptação de comunicações presente nos cartões SIM usados nos telefones móveis em todo o mundo para aceder às redes dos operadores tanto para comunicações de voz e SMS como Internet móvel.

A equipa do Mobile Handset Exploitation Team conseguiu roubar um número não identificado de chaves de encriptação a operadores de telecomunicações e a vários fabricantes de cartões SIM, incluindo a holandesa Gemalto, um dos maiores fabricantes mundiais de cartões SIM. A Gemalto produz 2 mil milhões de cartões SIM todos os anos que são usados em muitos operadores de comunicações móveis de todo o mundo.

Este roubo permite a estes serviços secretos interceptar facilmente as comunicações móveis qualquer que seja o local ou o operador utilizado.

Originalmente os cartões SIM eram usados apenas para controlar a facturação das contas contratadas com os operadores, mas hoje em dia, um cartão SIM também incluem as chaves de encriptação para proteger comunicações de voz, SMS e dados. Cada cartão é fabricado com uma chave já incluída que é validada quando o telefone se liga à rede de forma a permitir, ou não, as comunicações. A partir desse momento, todas as comunicações passam a ser encriptadas. Como a chave está gravada permanentemente no cartão, a única forma de a trocar é trocando o cartão.

As chaves podem ser usadas até para descodificar comunicações que estejam gravadas durante vários anos.

Segundo os documentos divulgados por Snowden, a equipa do MHET conseguiu roubar as chaves através da sua intercepção quando são enviadas para os operadores através de email ou FTP.

O MHET interceptou comunicações de cerca de 150 empregados das empresas fabricantes de cartões SIM, operadoras e de fabricantes de hardware como a Huawei, Ericsson ou Nokia para conseguir informações suficientes para conseguir injectar malware nas redes dessas empresas para automatizar o processo de recolha de chaves de encriptação usadas nos cartões SIM e em outro hardware que se ligue às redes móveis.

Via The Intercept

PCGuia