이제 핸드폰도 3G가 대세로 자리잡으면서 USIM Card 가 들어가고 있습니다. 이 카드에 전화번호, SMS, 개인식별번호등 정보가 저장이 됩니다. 그런데 이런 저장 정보를 누구나 손쉽게 빼내볼수 있다는 단점이 있습니다.
보통은 다들 아시다시피 PIN 번호 내자리를 입력해야 USIM Card안에 정보를 볼수가 있습니다. Forensics 전문툴로 하면 안의 내용가 삭제된 기록까지 보거나 복구 시킬수가 있습니다.
그런데 제가 잠깐 관련 정보에 대해서 공부도 하고 GSM 방식의 SIM Card 에 대해서 알아보다가 특이점에 발견됬습니다. (SIM Card는 유럽 GSM방식의 표준에 맞는 Card입니다.)
SIM Card나 USIM Card는 같은 기술의 표준을 두고 있기 때문에 GSM 방식의 SIM Card 툴로 정보가 읽어질거라고 생각하고 시도했는데 어처구니 없게 PIN 번호는 아예 무시하고 바로 USIM Card의 데이터를 읽어들었습니다.
PIN 번호를 모르고도 남의 데이터를 손쉽게 보거나 획득할수 있다는 애기가 되겠습니다. 제 것과 지인들분의 USIM Card 를 다 테스트 해본 결과 모두 PIN 번호를 무시했습니다.
머 기본적인 PIN번호를 알아내는 H/W, S/W들도 많이 있습니다. 관련된 곳이니 참고 하시길 바랍니다.
http://ladyada.net/make/simreader/
아직 본인은 SIM이나 USIM Card 인증 체계나 보안구조를 다 알지는 못하나 이 2개의 구조가 무척 궁금해 집니다.
잡소리는 그만하고요^^..
그래서 GSM 방식의 SIM Card 관련 툴을 더 테스트 해본결과 몇가지가 더 USIM Card에서 PIN 번호를 무시하고 안의 데이터를 볼수 있었습니다.
관련 툴에 대해서는 언급하지는 않습니다. 악용하시는 분들이 있어서 그러는 것이니 양해 바랍니다.
아직 USIM Card 에 대한 보안이 확실하지 않고 지금도 계속 테스트하면 나아지고 있는 시점입니다. 조그만한 칩의 작은 용량도 문제가 있어 확실하게 다 막는 보안 모듈과 전제 데이터에 대한 암호화를 못하지만 ETRI에서 계속 연구중인걸로 알고 있습니다.
자 그래서 이글을 읽으신 분들은 핸드폰을 함부로 내버러 두시지 마시고 항상 따뜻한 주머니에 보관하시고 분실하시는 일은 더더욱 없었으면 합니다.
아직 학생수준에서 제가 관심가는거에 대해서 적은 글이니 오해의 소지나 작성한 글이 현재상황에 어긋난다고 판단대시면 지체없이 쓴소리 댓글로 해주시길 바랍니다.^^
NIST UIM Forensics
http://csrc.nist.gov/groups/SNS/mobile_security/mobile_forensics_software.html
http://csrc.nist.gov/groups/SNS/mobile_security/publications.html#forensics
기타 참고자료
안드로이드 폰 해킹 자료... 재미있네요
http://www.maximumpc.com/article/howtos/howto_hack_your_android_g1_phone
보통은 다들 아시다시피 PIN 번호 내자리를 입력해야 USIM Card안에 정보를 볼수가 있습니다. Forensics 전문툴로 하면 안의 내용가 삭제된 기록까지 보거나 복구 시킬수가 있습니다.
그런데 제가 잠깐 관련 정보에 대해서 공부도 하고 GSM 방식의 SIM Card 에 대해서 알아보다가 특이점에 발견됬습니다. (SIM Card는 유럽 GSM방식의 표준에 맞는 Card입니다.)
SIM Card나 USIM Card는 같은 기술의 표준을 두고 있기 때문에 GSM 방식의 SIM Card 툴로 정보가 읽어질거라고 생각하고 시도했는데 어처구니 없게 PIN 번호는 아예 무시하고 바로 USIM Card의 데이터를 읽어들었습니다.
(본이미지는 실제데이터와는 무관합니다.)
PIN 번호를 모르고도 남의 데이터를 손쉽게 보거나 획득할수 있다는 애기가 되겠습니다. 제 것과 지인들분의 USIM Card 를 다 테스트 해본 결과 모두 PIN 번호를 무시했습니다.
머 기본적인 PIN번호를 알아내는 H/W, S/W들도 많이 있습니다. 관련된 곳이니 참고 하시길 바랍니다.
http://ladyada.net/make/simreader/
아직 본인은 SIM이나 USIM Card 인증 체계나 보안구조를 다 알지는 못하나 이 2개의 구조가 무척 궁금해 집니다.
잡소리는 그만하고요^^..
그래서 GSM 방식의 SIM Card 관련 툴을 더 테스트 해본결과 몇가지가 더 USIM Card에서 PIN 번호를 무시하고 안의 데이터를 볼수 있었습니다.
관련 툴에 대해서는 언급하지는 않습니다. 악용하시는 분들이 있어서 그러는 것이니 양해 바랍니다.
아직 USIM Card 에 대한 보안이 확실하지 않고 지금도 계속 테스트하면 나아지고 있는 시점입니다. 조그만한 칩의 작은 용량도 문제가 있어 확실하게 다 막는 보안 모듈과 전제 데이터에 대한 암호화를 못하지만 ETRI에서 계속 연구중인걸로 알고 있습니다.
자 그래서 이글을 읽으신 분들은 핸드폰을 함부로 내버러 두시지 마시고 항상 따뜻한 주머니에 보관하시고 분실하시는 일은 더더욱 없었으면 합니다.
아직 학생수준에서 제가 관심가는거에 대해서 적은 글이니 오해의 소지나 작성한 글이 현재상황에 어긋난다고 판단대시면 지체없이 쓴소리 댓글로 해주시길 바랍니다.^^
NIST UIM Forensics
http://csrc.nist.gov/groups/SNS/mobile_security/mobile_forensics_software.html
http://csrc.nist.gov/groups/SNS/mobile_security/publications.html#forensics
기타 참고자료
안드로이드 폰 해킹 자료... 재미있네요
http://www.maximumpc.com/article/howtos/howto_hack_your_android_g1_phone
'[☩ Security ☩]' 카테고리의 다른 글
| 美 연방수사국 FBI, 국.내외 사이버범죄수사에 전격개입 (4) | 2008.10.16 |
|---|---|
| 학습용 Simple Internet Tools (0) | 2008.10.16 |
| VMware 심각한 취약점이 나왔습니다. (8) | 2008.10.07 |
| 케빈미트닉 또 사고를 치신건가? (4) | 2008.10.02 |
| 웹서버의 클릭을 가로채는 ClickJacking (4) | 2008.09.29 |
