Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 55, views: 31.466 •

Klanten van Vodafone en T-Mobile in Nederland kunnen niet of nauwelijks getroffen worden door de 'simkaart-hack', waarbij binnen een paar minuten een telefoon via 'stille' sms'jes kan worden overgenomen.

SimkaartDe hack raakt geen enkele klant van Vodafone in Nederland, zo laat de provider desgevraagd aan Tweakers weten. Bij KPN is dat nog niet duidelijk. "Wij analyseren de hack momenteel, maar we weten nog niet of er klanten van ons vatbaar zijn voor deze hack", zegt een woordvoerder van KPN tegen Tweakers. T-Mobile zegt nog niet zeker te weten of er nog simkaarten in omloop zijn die vatbaar zijn voor de hack: "Het betreft technologie voor simkaarten die T-Mobile Nederland sinds 2002 niet meer levert", zegt woordvoerder Michael Vos tegen Tweakers. Klanten met een simkaart van voor 2002 kunnen vatbaar zijn, maar T-Mobile weet niet of die er nog zijn. Alle simkaarten met het logo van T-Mobile erop lijken dus veilig: Deutsche Telekom gebruikt die merknaam pas sinds 2003 in Nederland.

Als er veel klanten met een kwetsbare simkaart rondlopen, ligt het voor de hand die allemaal te vervangen voor veilige simkaarten, maar KPN wil nog niet ingaan op mogelijke maatregelen wanneer er klanten vatbaar blijken te zijn. "We zijn het eerst aan het uitzoeken en dat doen we uiteraard samen met de GSM Association, de koepelorganisatie voor providers en met Karsten Nohl, de ontdekker van de hack." Nohl zal zijn bevindingen delen op hackercongres Black Hat, dat volgende week plaatsvindt, maar hij lichtte maandag al een tipje van de sluier op.

De hack werkt met 'stille' sms'jes, berichtjes die providers naar telefoons kunnen sturen maar waar de gebruiker niets van ziet. Die sms'jes worden ondertekend met een sleutel van 56 bits; zonder die code kunnen geen bewerkingen op de simkaart worden uitgevoerd. Een deel van de simkaarten stuurt bij gebruik van een ongeldige code een foutmelding met een cryptografische handtekening terug. Die handtekening wist Nohl met behulp van rainbow tables om te zetten naar de sleutel van 56 bits die moet worden gebruikt om de sms'jes richting de simkaart te ondertekenen.

Daarna had Nohl evenveel macht over de simkaart als de provider, en kon hij bijvoorbeeld sms'jes onderscheppen en telefoongesprekken omleiden en afluisteren. Volgens Nohl is de aanval te doen met een doorsnee pc en duurt hij circa twee minuten. De aanval werkt enkel met kaarten die de verouderde DES-encryptiestandaard gebruiken. Een deel van de providers is overgestapt op 3DES, een verbeterde versie van de standaard.

De DES-standaard wordt al een jaar of vijf door makers van simkaarten niet meer gebruikt, waardoor het voor de hand ligt dat vooral oudere simkaarten kwetsbaar zijn. Nohl schat dat 750 miljoen simkaarten kwetsbaar zijn, al is het precieze aantal onduidelijk.

Update, 17:23: Reactie T-Mobile toegevoegd

Reacties (55)

Mijn Vodafone sim is denk ik nu een jaar of 10 oud. Ik mag hopen dat ze gelijk hebben :) Dat zou betekenen dat zij al die tijd 3DES kaartjes hebben gebruikt?
Lijkt mij ook wat voorbarig van vodaphone, tenzij het vodaphone netwerk het terugbericht tegenhoud?
Dan heb je natuurlijk nog wel een probleem in het buitenland mogelijkerwijs...

Edit: Echt werkelijk waar, de moderaties van vandaag slaan echt nergens op. Mensen modden dit als "off-topic/irrelevant/ongewenst" terwijl het zeker on topic is en ook nog relevant. Iemand na mij (ludonis) zegt precies hetzelfde en die modden ze wel on-topic. |:(

[Reactie gewijzigd door flightdude op 22 juli 2013 17:55]

In het buitenland kunnen ze het ook tegenhouden aangezien het altijd via je thuis-SMSC wordt verzonden. Ik betwijfel echter of er ook maar één provider wereldwijd is die zo'n filter heeft geïnstalleerd :P

De kwetsbaarheid om zelf een netwerk op te zetten en MITM te doen is bij 2G veel ernstiger vind ik trouwens. Verschil met die kwetsbaarheid is dat deze ook via 3G en straks evt SMSoLTE gaat.
Misschien dat het eraan ligt dat jij VodaFone, VodaPHone noemt ?
Sommige mensen beschouwen dat hetzelfde als M$ / Micro$oft, dus door de naam aan te passen om je ongenoegen voor een merk uit te spreken.
Ligt misschien ook aan je spelling van het woord Vodafone, komt een beetje Geenstijl achtig over, no offense.

On Topic; Het zou best kunnen dat Vodafone zijn zaakjes gewoon beter op orde heeft, wat ook kan is dat ze achter de schermen nu zelf hard aan de slag zijn om te kijken of het probleem bij hun eigen netwerk ook optreed. Hoewel niet eerlijk en open komt dat wel beter over op de klant dan KPN haar "we weten het niet" houding. Dat laatste geeft erg weinig vertrouwen.
Neen, dat is niet wat dit betekent. Het kan simpelweg betekenen dat bij een ongeldig bericht geen antwoord gestuurd wordt. Zoals aangehaald in het originele artikel over de hack, werkt deze alleen indien op ongeldige berichten een antwoord verzonden wordt.
Het kan geen kwaad om na een jaar of 10 een keer een nieuwe simkaart te regelen, de internet snelheid zal er in iedergeval flink van profiteren.
En waarom is dat dan?
Noem me maar een leek, maar hoe heeft de leeftijd van de SIM-kaart invloed op bijvoorbeeld 3G-snelheid?
Ik weet niet precies hoe het zit. Maar toen ik verlengde van mijn HTC Touch HD naar mijn HTC Incredible S, moest ik ook wisselen van simkaart. Hier werd toen als reden aangegeven dat de oude simkaart geen HSDPA+ aan zou kunnen.

Maar was wel hetzelfde formaat simkaartje.
Als dat zo is ren ik meteen naar de Vodafone winkel met m'n oude geknipte Libertel-kaartje :O

Raar als de providers dit nooit melden. Ik zelf heb het nog nooit ergens gelezen, vandaar mijn verbazing.

EDIT: ik zie dat __fred__ wat meer licht op dit verhaal weet te schijnen.

[Reactie gewijzigd door Alamo op 22 juli 2013 17:21]

De sim-kaart bevat o.a. een APN (Access Point Name), wat de naam is van het netwerk waarover de GPRS, 3G, 4G, etc. verbinding over loopt. Elke provider heeft zijn eigen unieke APN voor GPRS, 3G, 4G, etc. Als jouw sim-kaart het APN van het 4G netwerk niet kent, kun je dus geen 4G gebruiken.
De APN is het minst erge, want dat zal een smartphone doorgaans zelf van het netwerk halen of eigen ingebouwde lijsten gebruiken.

Of de provider zal die info automatisch naar je teleofoon sturen en je SIM kaart updaten (immers zo werkt deze hack ook).

Erger is dat bepaalde software in de SIM kaart niet aanwezig is, en niet altijd geupdate kan worden. Of als het wel kan, is het geheugen in de kaart wellicht niet groot genoeg om de nieuwe software te draaien. Etc.
De snelheid van je internet is niet afhankelijk van de leeftijd van je sim. De zogenaamde QOS waarde bepaalt jouw maximum snelheid. Die staat niet op de sim maar in de HLR. En die QOS waarde is weer door je provider in te stellen.
Een 10 jaar oude SIMkaart zal soms bepaalde nieuwe technieken niet ondersteunen.

Een SIM-kaart is niets anders dan een micro-controller met wat geheugen waarop software zit. Mensen denken dat het enkel wat geheugen met operator info is, maar het is veel meer dan dat.

3G/UMTS vereist bijvoorbeeld andere encryptie, en een te oude SIM kaart zal daarom sommige 3G varianten niet goed ondersteunen of bugs hebben. Maar ook andere software op die kaart is waarschijnlijk al oud.
Als je abbo tien jaar oud is wel ja, voor de rest maakt het niets uit.

De SIM-kaart is puur "hallo, ik ben 06blablabla", de communicatie gebeurd met de radio.
Dan vind ik het vreemd dat meerdere helpdesks van verschillende providers het tegendeel beweren. Een van de eerste suggesties bij een lage 3G snelheid is een nieuwe simkaart.
Dan zitten die helpdesks er toch allemaal naast. Zie ook mijn reactie hierboven.
Dat is niet helemaal waar. De SIM kaart is in de laatste jaren ook geëvolueerd. Om toegang te krijgen tot UMTS netwerken dient de SIM een UICC met USIM applicatie te zijn. Daarom kan het wel degelijk noodzakelijk zijn om je SIM te upgraden voor 3G.
Zonder Usim kan je niet eens gebruik maken van umts(3g) ook Al geeft je toestel wel 3g aan het netwerk behandelt hem als 2g

Plus het feit dat je nog een 5volt kaartje kan hebben terwijl de Usim kaartjes 3.5 volt zijn waardoor je oude sim je accu leegt trekt ;-)
Hoewel ik ook bij Vodafone zit komt mijn simkaart gewoon uit het Libertel tijdperk dus die is echt wel ouder dan 10 jaar. Beetje voorbarig denk ik van Vodafone om te zeggen dat alle klanten veilig zouden zijn... Misschien toch maar een swap aanvragen dan maar?
Is het ook niet zo dat alleen oudere SIMS er last van hebben?
De meeste mensen hebben met de huidige generatie smartphones vast alwel een nieuwere Micro/Nano SIM.
Of zou het gewoon verouderde techniek zijn die bepaalde providers gebruiken?
Lees dit artikel van eerder vandaag (heeft te maken met DES gebruiken ipv nieuwere 3DES op de SIM-kaart): nieuws: 'Deel sim-kaarten is te hacken door sturen sms'
Waarom kan dit eigenlijk überhaubt? Is dit een overflow die misbruikt wordt of is het een bewuste feature die gebrekkig is beveiligd? Maar wie wil dit op zijn telefoon anders dan de NSA en de AIVD?
Lees dit artikel van eerder vandaag: nieuws: 'Deel sim-kaarten is te hacken door sturen sms'

[Reactie gewijzigd door ViperXL op 22 juli 2013 17:15]

Mijn sim al wel weer 10 jaar, tijd voor een nieuwe dus.. :(
Had je veel eerder moeten doen.
Als je nog geen Usim hebt kan je niet eens gebruik maken van umts(3g) ook Al geeft je toestel wel 3g aan het netwerk behandelt hem als 2g

Plus het feit dat je nog een 5volt kaartje kan hebben terwijl de Usim kaartjes 3.5 volt zijn waardoor je oude sim je accu leegt trekt ;-)
Ik kan me toch ergens herinneren dat ik al t-mobile in 2000 of 2001 had. Het artikel hierboven zegt 2002. Zoeken op het internet geeft 1999 als start van t-mobile Nederland, maar in hoeverre ze toen al aan consumenten leverden is natuurlijk niet zo 123 duidelijk.

Wat ik wel weet is dat t-mobile, vodafone en kpn beboet zijn voor kartelvorming in 2001, iets wat me onmogelijk (en irrelevant) lijkt als t-mobile nog niet als echt merk op de markt was.

De overnames van orange/ben vonden veel later plaats (2007 en 2010 oid) dus welk merk stond er dan wél op de simkaartjes. Ik zeg...gewoon t-mobile.

Een beetje vreemd!
Dan laat je geheugen je toch een beetje in de steek.

van wikipedia:
http://nl.wikipedia.org/wiki/Ben_(mobiele_communicatie)

"Op 30 september 2002 kwam Ben volledig in handen van T-Mobile International. De introductie van de merknaam "T-Mobile" volgde op 25 februari 2003 en is sindsdien niet meer veranderd."

Orange werd in 2007 ingelijfd en Ben is in 2008 weer tot leven gebracht als sim only dochter.

Dit klopt ook met mijn herinneringen, rond 2001 kreeg ik mijn eerste mobiele telefoon met Ben. Dit werd inderdaad een paar jaar later omgezet naar T-Mobile.
Klanten van Vodafone en T-Mobile in Nederland kunnen niet of nauwelijks getroffen worden door de 'simkaart-hack'

Wat is het nu, 100% niet. Of misschien toch een beetje wel?
Erg jammer dat daar weinig over duidelijk is. Misschien heeft het met de leeftijd van de simkaart te maken of met de regio waar je woont. Maar ik hoop dat hier meer over duidelijk komt.
Niet of nauwelijks is gewoon correct Nederlands hoor.
Zijn vraag gaat over de inhoud denk ik. Goeie vraag trouwens.
Klopt, het ging me om de inhoud.
Wat is het nu, 100% niet. Of misschien toch een beetje wel?
Verreweg de meeste niet maar een heel klein deel waarschijnlijk wel.
Oftewel: niet of nauwelijks.

T-Mobile geeft aan sinds 2002 simkaarten uit te geven die 3DES gebruiken en dus niet vatbaar zijn. Maar ze geven ook aan geen idee te hebben hoeveel simkaarten van voor die tijd nog in omloop zijn. Volgens mij past niet of nauwelijks prima bij die beschrijving.

Wat Vodafone betreft: die beweren dat geen een van hun klanten vatbaar is. Al is dat eigenlijk zeer onwaarschijnlijk. Je mag eerder aannemen dat de werkelijkheid bij Vodafone niet ver af zit van het statement van T-Mobile.
Ik heb nog een simkaart van Orange, op het netwerk van T-Mobile. Ik weet niet precies van wanneer. Gelukkig was ik al van plan om te wisselen van provider.
Toevallig recentelijk mijn Orange SIM om laten ruilen voor één van T-Mobile. Voor het eerst een smartphone end ik kon geen 3G ontvangen op dat kaartje. Denk niet dat die van mij uit 2002 of eerder was, eerder 2005-06dus sowieso veilig.
Even gezocht, Orange is overgenomen door T-mobile in 2007. Ik weet dat ik hem niet ver daarvoor heb gekregen (zeker geen 5 jaar). Dus ik zit relatief veilig.

[Reactie gewijzigd door LongBowNL op 22 juli 2013 19:21]

Ja maar let op, op het moment dat er een nieuwe sim uitkomt,wilt het niet zeggen dat providers de oude allemaal vernietigen. Mij lijkt dat ze de oude voorraad gewoon opgemaakt hebben en vervolgens aan de nieuwe zijn begonnen.
Er zijn altijd nog klanten met oude telefoon en kaartjes, ze zijn zeldzaam maar dat zijn vaak mensen met nog een oude nokia 6210 en die hebben op marktplaats ooit 3 van die toestellen gekocht onder het idee daar kan ik weer weer 10 jaar verder mee. Ze bestaan :)
Lol ik heb nog een simkaart van Ben, dus nog voordat Ben was overgenomen door T-mobile! Zeker 11 jaar geleden...
Klinkt erg bekend. Ik heb op eigen beweging een aantal maanden geleden een vervangende SIM aangevraagd bij T-Mobile omdat ik ook nog met een BEN sim rondliep en mijn internet zo traag was. Zoals iemand hierboven al zegt vind ik het erg vreemd dat als je een abbo blijft verlengen bij ze en dus je eigen SIM behoud, ze dan niet zeggen als je een nieuwe smartphone erbij neemt: 'Meneer, als u die snelheid wilt kunnen gebruiken moet u wel uw SIM vervangen".
En nu blijkt dus ook dat het een stuk minder veilig is om er mee rond te lopen. Lijkt me dus wel een signaal aan de providers om het op te pakken er toch mensen te gaan waarschuwen met een oude SIM.

Geloof zelf ook niet dat T-Mobile het niet weet, denk eerder dat ze het gewoon niet willen prijsgeven of de woordvoerder had geen getallen klaar.
Klantenservice kan vaak niet bij de gegevens die toont of je simkaart voldoet aan de op dit moment geldende eisen. Hiervoor hebben ze juist de technical afdeling.

Eigenlijk een beetje lullig maar, jij als klant weet hoelang je al abonnee bent en kan dus bij verlenging vragen of het niet eens tijd wordt voor een nieuwe simkaart. Het is niet alleen de verantwoording van de verkoper om dingen te verrichten maar ook als klant heb je de plicht om te informeren.

Het lijkt mij inderdaad dat telco's hier momenteel "NOG" niet mee naar buiten willen komen. Dit omdat de gevoeligheid van dit probleem nogal hoog ligt. Ik vermoed dus dat ze eerst alle klanten die mogelijk slachtoffer kunnen worden van deze hack, gaan benaderen en daarna de informatie werkelijk naar buiten gaan brengen. Iets in de zin van "slapende honden moet je ...................... anyone? "
Kan de klantenservice dat niet? Vreemd... toen ik namelijk bij de klantenservice informeerde werd mij na een aantal tientallen seconden verteld dat ik inderdaad in aanmerking kwam voor een nieuwe SIM omdat de oude niet meer zou voldoen. Op mijn vraag waarom ik hier dan niet eerder van op de hoogste was gesteld werd niet geantwoord.
Dus het lijkt me sterk dat ze dit niet kunnen.

verder offtopic:
Verder heb ik het ook over de keren dat ik in de T-mobile shop heb verlengt, ze mijn SIM er zelf uit hebben gehaald, het nummer hebben overgetikt in de PC en heel groot hebben kunnen zien dat er BEN op staat, je het daarna nog hebt dat je al zo lang bij hen zit en dezelfde SIM hebt en ze daarna zelf je de Desire Z verkopen met internet bundel... dan zou er toch een belletje moeten rinkelen dat een nieuwe SIM dan nodig is voor de hogere snelheid?
Ik heb dat bij KPN gehad, ik had ong 2 jaar geleden een abbo afgesloten. Onlangs (deze maand) verlengd en kreeg een nieuwe sim om volledig van mijn one +4g gebruik te kunnen maken. Mijn bijna 2 jaar oude zou niet optimaal zijn.
Gelukkig rekent KPN geen kosten voor een nieuwe sim wanneer je de volgende 2 redenen gebruikt:
Die wat ik had vanwege stabiliteit vergeleken de bijna 2 jaar oude sim.
Zeggen dat een service punt verteld heeft dat de sim niet goed is.

[Reactie gewijzigd door JeroenC op 23 juli 2013 07:19]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013