C'è un motivo per proteggere la SIM con il PIN?

Quando sono state introdotte le SIM, lo scopo era quello di contenere l'identificazione dell'utente per il bene della rete mobile. I piccoli oggetti fisici relativamente economici erano un modo conveniente di distribuire le identità degli abbonati separatamente dal telefono ingombrante e costoso che poteva o meno essere fornito dall'operatore di rete. (Da qui il nome modulo di identità dell'abbonato .) L'asset principale sulla SIM è l'identità dell'utente (nel suo ruolo di abbonato al servizio di telefonia mobile); una risorsa secondaria è la chiave crittografica che la protegge. Vedi Ingegneria della sicurezza di Ross Anderson , §20.3.2 ( §17.3.3 nella prima edizione).

Noterai che questa è una risorsa del gestore di rete. L'utente ha un piccolo incentivo nel proteggere la sua identità. In pratica, la perdita di questo bene significa che il telefono è stato rubato. La perdita del telefono è in genere un costo più elevato rispetto alla possibile perdita di credito di comunicazione per il ladro.

Nel tempo, i telefoni hanno iniziato ad avere sempre più funzionalità. In particolare, sui telefoni cellulari di base, la SIM tende a contenere dati privati come una rubrica. Questi dati privati sono una risorsa dell'utente. Con il passaggio a feature phone e smartphone, i dati privati sono sfuggiti alla SIM, che è tornata a contenere poco più dell'identità dell'abbonato.

Quando si avvia un telefono base, in genere viene richiesto di inserire un codice a 4 cifre. Questa è l'autenticazione per la SIM: i telefoni di base tendono a non avere alcuna autenticazione. Quando si avvia uno smartphone, viene richiesta la propria autenticazione e la maggior parte degli utenti non si preoccupa di utilizzare un PIN della SIM. Non ho figure, ma credo che molte persone abbiano un PIN (o altro fattore di autenticazione come i gesti) per il loro dispositivo mobile, sia per la SIM che per il telefono. Miracolosamente (beh, è in parte la progettazione), l'autenticazione o la mancanza di essa è correlata al valore delle risorse per l'utente.

L'accesso alla SIM consente al ladro di impersonare l'utente, ma solo per un tempo limitato, fino a quando non viene denunciato il furto. Se il ladro ha una SIM sbloccata, può accedere alla posta vocale dell'utente e alla cronologia SMS. Questo è un motivo per proteggere la tua SIM anche in uno smartphone, ma debole per la maggior parte delle persone: il furto del telefono cellulare riguarda prevalentemente il valore del telefono, inoltre sempre più sfruttando i dati dello smartphone, ma raramente mirato alle informazioni private della vittima . Se è probabile che tu venga scelto come target per i tuoi dati privati (ad esempio, se nego regolarmente contratti multimilionari sul tuo telefono), ti conviene proteggere la tua SIM.

Una SIM non protetta consente al ladro di effettuare telefonate senza pagare e, soprattutto, anonimamente. Ci sono due modi principali per fare telefonate anonime: con una SIM rubata, se il ladro non viene catturato; e con una SIM prepagata, se acquistata in modo anonimo (di solito in contanti o con una carta di credito rubata). Una SIM rubata è scomoda a tale scopo in quanto ha una vita utile limitata (solo fino a quando la SIM non è nella lista nera, cosa che l'operatore può fare). Se la SIM rubata può passare inosservata per un tempo sufficiente a essere recintata, è molto più preziosa, poiché rende difficile il tracciamento del collegamento tra la SIM e il ladro.

Se il ladro usa la SIM, la sua posizione approssimativa diventa nota. Questo è raramente una preoccupazione. La posizione del furto è comunque ampiamente nota. L'identità del ladro non è nota a priori; ciò che è prezioso è "dov'era il criminale X al tempo T?", non "dov'era il ladro di questa SIM al tempo T?". La posizione ladro è utile solo se è possibile correlare la SIM rubata con il criminale in primo luogo. In pratica, è più probabile che il telefono sia tracciato rispetto alla SIM (entrambi sono ugualmente tracciabili dall'operatore o dalle forze dell'ordine).

Nota: questa risposta presuppone che il ladro non sia in grado di indovinare o ignorare il PIN della SIM. Questa è un'ipotesi realistica nella maggior parte delle situazioni, poiché la SIM si bloccherà dopo 3 ipotesi non valide e il costo di interruzione della SIM è in genere superiore alle risorse.

Penso che ci sia.

I telefoni rubati possono anche essere trovati dal loro IMEI, l'ID del dispositivo. Ma probabilmente è troppo sforzo per le forze dell'ordine.

Lo stesso vale per le SIM ... La maggior parte delle persone otterrà semplicemente una nuova SIM invece di aspettare che qualcuno la trovi e restituirla a loro.

D'altra parte, se qualcuno ruba la tua SIM, potrebbero usarla per impersonare te. Potrebbero scrivere messaggi di testo dal tuo numero, potrebbero ricevere TAN mobili (codici di autorizzazione e-banking) e molto altro. Quindi ci sono alcuni motivi per l'utilizzo di un PIN.

La SIM può contenere molte cose. Ad esempio i tuoi contatti, le impostazioni di personalizzazione ecc.

Quindi il primo utilizzo del PIN è per proteggere la tua vita privata. Inoltre, essere in grado di utilizzare una SIM senza PIN rende un ladro in grado di utilizzare l'abbonamento mobile: effettuare chiamate illecite, addebitare all'utente servizi mobili o utilizzare il telefono per altre attività illegali che potrebbero incriminarti. Si può anche verificare l'impersonificazione, portando a problemi più grandi: furto d'identità, ingegneria sociale ecc.

In ogni caso, poiché si manterrebbe il PIN della carta di credito segreto e attivo, o non si darebbe a nessuno il proprio indirizzo e le proprie chiavi: mantenere la SIM protetta con un buon PIN. NON usare una password troppo semplice!

I ladri stanno rubando i telefoni ora, non per il valore del telefono, ma perché prima che venga segnalato lo smarrimento o il furto stanno componendo numeri a tariffa premium che controllano. Ricevono una quota delle entrate dalla composizione dei numeri in modo da rubare il telefono, trasferire la SIM su un altro telefono e quindi chiamare il numero di tariffa premium. Il proprietario originale del telefono è quindi atterrato con una fattura per le chiamate effettuate fino a quando la SIM non viene bloccata.

A storia recente nei media del Regno Unito parlava di una persona a cui è stato rubato il telefono e il ladro ha pagato una banconota da 15.000 sterline trasferendo la SIM in un altro telefono.

Ecco perché è una buona idea bloccare il SIM.

Al giorno d'oggi le carte SIM contengono meno informazioni personali di quelle che tenevano in mano; gli smartphone non memorizzano più i contatti nella SIM, i messaggi SMS vengono immediatamente copiati nella memoria dello smartphone e cancellati dalla SIM, quindi alla fine l'unica cosa personale che rimane è il numero di telefono stesso, può ancora essere utilizzato per l'ingegneria sociale , chiamando i numeri a tariffa premium o ricevendo i token di autenticazione a 2 fattori.

Tuttavia, il grande svantaggio di un PIN SIM è che gli smartphone non se lo ricordano e ti avvisano ogni volta che si riavviano (non ci sono motivi tecnici per impedirlo, il telefono può ricordare il PIN ICCID + della SIM e lo sblocca automaticamente ogni volta si avvia se l'ICCID corrisponde a quello registrato), quindi ora pensa a cosa succede se il tuo telefono viene rubato, ha un passcode e usi Find My (i) Phone per rintracciarlo ... fantastico, puoi riprenderlo! Ora cosa succede se il ladro riavvia il telefono o esaurisce la batteria ... il codice di accesso del telefono impedisce al ladro di tentare di inserire un PIN anche una volta riacceso il telefono, senza che non ci sia più connessione dati e non è più possibile rintraccia il telefono.