Smartphone stevent af op apocalyps
Het probleem schuilt volgens Auerbach in in de verouderde encryptiestandaard die in zwang is voor mobiele communicatie in combinatie met de ingebakken kwetsbaarheid van de basebandprocessor.
Shutterstock
Shutterstock
Nepbasisstation steeds makkelijker op te zetten
Die kwetsbaarheid van de basebandprocessor vloeit voort uit het feit dat deze verkeersregelaar voor de communicatie vrijelijk contact legt met elk basisstation dat binnen zijn bereik komt, stelt Auerbach. Dat maakt het heel simpel om een nepbasisstation te installeren dat de plaats inneemt van een basisstation van een telecomleverancier. Ralf-Philipp Weinmann schetste die aanpak vorig jaar al op de Black Hat-beveiligingsconferentie. En door de prijsdaling van verplaatsbare basisstations en het in zwang raken van opensourcetools voor het inrichten ervan wordt het alleen maar makkelijker om het verkeer van smartphones te onderscheppen.
A5/1-versleutelingsmechanisme makkelijk te kraken
Daar komt dan bovenop dat beveiliging van de communicatie van smartphones van de ontwikkelaars niet de aandacht krijgt die ze verdient. De GSM-standaard voor 3G-communicatie gebruikt nog steeds het A5/1-versleutelingsalgoritme dat al zeker 16 maanden gecompromitteerd is. 'Ongelooflijk kapot' en 'in principe waardeloos', kwalificeert Auerbach die encryptiemethode. Al in 2009 werd gedemonstreerd dat met dat algoritme versleuteld spraak- en tekstverkeer niet moeilijk te ontcijferen is. In combinatie met het feit dat het steeds beter doenlijk wordt een nepbasisstation op te zetten, is het gebruik van een smartphone feitelijk absoluut onveilig.
Onduidelijk wie het voortouw zou willen nemen
Auerbach is er niet gerust op dat er snel verbetering komt in deze situatie. In pc-land verordonneerde Bill Gates begin deze eeuw - simpelweg met een intern memo - dat beveiliging topprioriteit had. En gezien Microsofts marktaandeel bij pc-besturingssystemen en browsers had dat al snel effect. De smartphonemarkt is sterk gefragmenteerd, en Auerbach ziet niet welke leverancier hierin het voortouw zal willen of kunnen nemen. Betere beveiliging kost immers geld, al was het maar omdat het aandacht wegneemt van de ontwikkeling van andere functionaliteit waarmee je je bij de potentiële klanten makkelijker in de kijker speelt, stelt Auerbach.
Politiek onderkent urgentie probleem nog niet
Het initiatief om mobiel telefoon- en internetverkeer veiliger te maken zal daarom waarschijnlijk van de wetgevers moeten komen, oftewel van de politici. Auerbach proeft in die kringen echter niet veel begrip van de dreigende problemen en de technische achtergrond ervan. Hij vreest daarom dat pas echt maatregelen worden genomen na één of meer incidenten waarbij privacygevoelige gegevens van burgers op grote schaal in het geding komen.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee