Enkripsi Lawas IBM di Jutaan SIM Card Rentan Diretas

Cacat produksi pada teknologi enkripsi pada kartu SIM ponsel ditemukan. Hal itu memungkinkan hacker dapat melakukan pencurian data terhadap jutaan pengguna ponsel di seluruh dunia. Ironinya, peretas melihat adanya celah keamanan pada SIM Card saat ini yang masih menggunakan metode enskripsi lawas buatan IBM pada 1970 silam.

Seorang pakar keamanan digital terkemuka, Karsten Nohl yang berhasil menemukan celah keamanan tersebut. Nohl menyatakan bahwa hasil dari metode enkrispsi IBM yang disebut data encryption standard (DES) pada kartu SIM terdapat cacat keamanan.

“Dari jarak jauh kami dapat menginstal perangkat lunak dari telepon Anda. Kami dapat memata-matai Anda. Kita tahu kunci enkripsi untuk melakukan panggilan. Kita juga dapat membaca SMS Anda. Lebih dari sekedar mata-mata, Kita bisa mencuri data kartu SIM, identitas ponsel, dan biaya ke rekening Anda,” ungkap Nohl dilansir The New York Times.

Enkripsi DES sendiri digunakan pada setengah dari enam miliar ponsel yang terhubung pada kartu SIM. Selama dekade terakhir, sebagian besar operator telah mengadopsi metode enskripsi kuat disebut Triple DES. Namun, banyak kartu SIM tetap menjalankan standar lama DES yang dikembangkan IBM lebih dari 40 tahun lalu itu. Enskripsi lawas ini dianggap peretas punya celah keamanan untuk menyamarkan kartu SIM dan tanda tangan unik digital ponsel.

Nohl bersama timnya telah melakukan penelitian pada lebih dari seribu kartu SIM yang ada di Eropa dan Amerika Utara selama dua tahun. Hasilnya, sekitar seperempat dari kartu SIM itu menjalankan teknologi enkripsi lawas yang rentan akan kecacatan.

Nohl juga memproyeksikan, ada sekitar 750 juta ponsel yang kemungkinan rentan akibat ini. Sebab, masih banyak operator di seluruh dunia yang masih menggunakan teknologi lawas DES pada kartu SIM-nya.

Guna untuk mendapatkan kunci digital kartu SIM, Nohl harus mengirimkan sebuah pesan singkat SMS, seolah menyamar sebagai operator seluler. Nohl melihat operator secara rutin mengirim pesan kode khusus ponsel guna memvalidasi identitas pelanggan dalam melakukan penagihan dan transaksi mobile. Tiga dari empat pesan yang dikirimkan Nohl ke ponsel yang menggunakan enkripsi DES, handset mengakui adanya tanda tangan palsu.

Ia menyarankan berbagai Asosiasi GSM dan pembuat chip kartu SIM untuk menggunakan teknologi penyaringan lebih baik, memblokir jenis pesannya yang telah dikirim. Siapa tahu, pesannya operator itu telah disusupi oleh hacker. Ia juga menyarankan operator menggunakan enkripsi DES yang mendukung standar teknologi baru.

“Konsumen yang menggunakan kartu SIM lama lebih dari tiga tahun, harus mendapatkan kartu jenis baru dari operator mereka,” katanya yang enggan mengungkapkan, identitas operator mana saja yang masih menggunakan kartu SIM rentan peretasan.

Juru bicara Asosiasi GSM, Calire Cranton mengakui, kartu SIM masih mengandalkan standar enskripsi DES lama. Ia pun mengklaim, kemungkinan hanya sebagian kecil dari SIM yang menggunakan standar lebih tua rentan akan celah keamanan. Namun, penemuan Kohl ini akan ditinjau ulang oleh asosiasinya.

Sementara itu, salah satu pembuat kartu SIM terbesar asal Jerman, Gieseche & Devrient mengatakan, pihaknya dalam tahap untuk keluar dari teknologi enkripsi DES semenjak 2008. Lebih lanjut, “Sistem operasi unik yang digunakan dalam kartu SIM, bahkan yang menjalankan enkripsi DES mampu mencegah telepon secara tidak sengaja mengirim semacam pesan kode otentifikasi,” ungkap Gieseche & Devrient dalam sebuah pernyataan.

Sumber: NewYork Times