Šifrovací algoritmus v 2G sieťach a technológii GPRS obsahuje chybu, ktorá umožňovala útočníkom odpočúvať mobilný dátový prenos viac ako 20 rokov. Podľa portálu MotherBoard na to upozornili výskumníci z Nemecka, Francúzska a Nórska.
Chyba v algoritme GEA-1 bola úmyselná
Chybu objavili v algoritmoch GEA-1 a GEA-2, ktoré pre štandard GPRS vyvinul Európsky inštitút pre telekomunikačné normy (ETSI). Ani jeden z algoritmov nie je open source, a teda ani verejne dostupný. Chyba algoritmu GEA-A spočíva v tom, že ponúka len 40-bitovú úroveň bezpečnosti, ktorú je možné so súčasnou výpočtovou silou poľahky prelomiť.
Útočník by tak mohol získať pôvodný šifrovací kľúč zo zachyteného šifrovacieho prenosu. Chyba je o to vážnejšia, že podľa výskumníkov bola do algoritmu zavedená úmyselne kvôli vtedajším zákonom. To potvrdil aj hovorca Európskeho inštitútu pre telekomunikačné normy. Kryptológ Matthew Green z Johns Hopkins University dokonca otvorene povedal, že chybu považuje za zadné dvierka (backdoor).
“Podľa našej experimentálnej analýzy je možnosť náhodného výskytu vlastností kľúče rovnako pravdepodobná, ako keby ste v nemeckej lotérii uhádli dvakrát po sebe výhernej šesticu čísiel.”
Christof Beierle, Ruská univerzita v Bochume.
Algoritmus GEA-1 mal byť vyradený už v roku 2013, ale experti v oblasti kybernetickej bezpečnosti uviedli, že ho našli v súčasných smartfónoch s operačnými systémom Android a iOS.
Druhá chyba vyžaduje nalákať obeť na falošnú stránku
Chyba v druhom algoritme GEA-2 nie je úmyselná a ani neumožňuje poľahky dešifrovať dátový prenos. Útočník totiž musí najprv získať celý keystream a aj celú pôvodnú správu, s ktorou je keystream skombinovaný. Až následne pomocou nich odhalí šifrovací kľuč. Tieto dva komponenty by však mohol získať, keby obeť nalákal na falošnú webovú stránku.
Následne by ich porovnal a získal by šifrovací kľúč k šifrovanej komunikácii obete. Ten by fungoval, kým by mobilný operátor nezrušil jeho platnosť. Tá sa štandardne ruší po určitej dobe alebo pri zmene polohy používateľa. Aj keď sa dnes väčšinou používajú v smartfónoch 4G a 5G technológie, tak v mnohých krajinách slúži GPRS ako záložné pripojenie. Aj z tohto dôvodu môžu byť chyby v týchto dvoch algoritmoch stále nebezpečné.
