SIM Cards မ်ား၏ လုံျခံဳေရးဆုိင္ရာ အားနည္းခ်က္

ဖုန္းတစ္လုံးတြင္ အလုံျခဳံဆုံး အစိတ္အပိုင္းအျဖစ္ သတ္မွတ္ခံရသည္မွာ SIM ကတ္ပင္ ျဖစ္သည္။ အေၾကာင္းမွာ လၽွပ္စစ္ပတ္လမ္းပါေသာ ထိုပလတ္စတစ္ျပားေလးကို ဖုန္းမ်ား Tablet မ်ားတြင္ ကြန္ယက္ေထာက္ပံ့သူႏွင့္ ခ်ိတ္ဆက္ကာ ေငြေပးေခ်ျခင္းမ်ားအတြက္ အသုံးျပဳလာၾက၍ ျဖစ္သည္။ အခ်ိန္အတန္ၾကာ ႀကိဳးစားၿပီးေနာက္တြင္ လုံျခဳံေရးဆိုင္ရာ ေလ့လာသူတစ္ဦးသည္ အဆိုပါပစၥည္း၏ အားနည္းခ်က္အခ်ိဳ႕ကို သိရွိခဲ့ရသည္။ ၎အားနည္းခ်က္မ်ားကို Las Vegas တြင္ က်င္းပေသာ Black Hat Conference တြင္ ဂ်ာမနီလူမ်ိဳး ဝွက္စာေဖာ္သူ Karten Nohl သည္ ဖုန္းမ်ားကို အေဝးမွ မည္သို႔ ထိန္းခ်ဳပ္နိုင္သည္ကို ရွင္းလင္းတင္ျပ သြားခဲ့သည္။

Nohl ႏွင့္ လုပ္ေဖာ္ကိုင္ဖက္မ်ားသည္ ဖုန္းအမ်ားစု၏ SIM ကတ္မ်ားကို ပရိုဂရမ္ေရးသားျခင္းျဖင့္ အဓိက ထိန္းခ်ဳပ္နိုင္မည့္ နည္းလမ္းကို ရွာေတြ႕ခဲ့သည္။ ထို႔ေၾကာင့္ လုံျခဳံေရးအဆင့္ျမင့္ေသာ မည့္သည့္ပစၥည္းကိုမဆို ေက်ာ္လႊားသြားနိုင္မည္ ျဖစ္သည္။

ကတ္မ်ား၏ ပထမအားနည္းခ်က္မွာ အသုံးျပဳထားေသာ ဝွက္စာစနစ္ပင္ျဖစ္သည္။ ယေန႔အသုံးျပဳေနေသာ SIM ကတ္အားလုံး၏ ၁/၈ ပုံခန္႕သည္ ၁၉၇၀ ဝန္းက်င္တြင္ ဖန္တီးခဲ့သည့္ Data Encryption Standard (DES) ကို အသုံးျပဳေနေသးေၾကာင္း Nohl က ခန႔္မွန္းထားသည္။ အဆိုပါဝွက္စာသြင္းနည္းမွာ လုံျခဳံေရး အားနည္းခ်က္မ်ားေၾကာင့္ အသုံးနည္းလာေသာ နည္းလမ္းတစ္ခုျဖစ္သည္။


ကြန္ယက္ေထာက္ပံ့သူမ်ားသည္ SIM ကတ္အတြင္းသို႔ OTA (Over-The-Air) Message ေပးပို႔ကာ ပရိုဂရမ္ေရးသြင္းနိုင္သည္။ SIM ကတ္အေျပာင္းအလဲ ျပဳလုပ္ေသာအခါ ကြန္ယက္မွ အင္တာနက္အသုံးျပဳ နိုင္ေစရန္ Configuration Message ေပးပို႔သည့္ပုံစံ ျဖစ္သည္။ Digital Signature မတူသည့္ OTA Message မ်ားအား လက္ခံရရွိေသာအခါ Error Message ထုတ္ေပးေလ့ရွိသည္။ DES နည္းျဖင့္ ဝွက္စာ သြင္းထားသည့္ SIM ကတ္မ်ားမွာမူ ဝွက္စာသြင္းထားသည့္ Digital Signature ကိုပါ ထုတ္ေပးေလ့ရွိေၾကာင္း ေလ့လာသူမ်ားက သိရွိခဲ့သည္။ အဆိုပါ Signature ကို ႀကီ:မားေသာ Rainbow Table မ်ားျဖင့္ ဝွက္စာေဖာ္နိုင္ခဲ့သည္။ ထိုသို႔ျပဳလုပ္ၿပီးေနာက္တြင္ ကြန္ယက္တူေသာ SIM ကတ္အားလုံးကို ကူးယူျခင္း ပရိုဂရမ္ ျပန္လည္ေရးသားျခင္းမ်ား ျပဳလုပ္နိုင္မည္ျဖစ္သည္။ ဤနည္းအားျဖင့္ အသုံးျပဳေနသူ၏ ဖုန္းေခၚဆို မွုမ်ားကို ၾကားျဖတ္ဖမ္းယူျခင္း SMS ေပးပို႔ျခင္း အသုံးျပဳသူမသိရွိေစဘဲ ေဖ်ာက္ဖ်က္ပစ္ျခင္း စသည့္ ကြန္ယက္ႏွင့္ဆိုင္ေသာ ကိစၥရပ္တိုင္းကို လုပ္ေဆာင္နိုင္ေတာ့မည္ျဖစ္သည္။

ဒုတိယအားနည္းခ်က္မွာ လုံျခဳံေရးအဆင့္အတန္း မသတ္မွတ္ရေသးသည့္ ပရိုဂရမ္မ်ားအား ကြန္ယက္ ထဲတြင္ သုံးစြဲသည့္အခါ Memory ရယူနိုင္ခြင့္အား ကန႔္သတ္ထားသည့္စနစ္ ျဖစ္ေသာ Sandboxing System ျဖစ္သည္။ ကတ္အတြင္းရွိ ပရိုဂရမ္မ်ားသည္ ကတ္အတြင္းရွိ အျခားအခ်က္အလက္မ်ားအား သုံးစြဲ နိုင္ခြင့္ကို ကန႔္သတ္ထားသင့္သည္။ သို႔ေသာ္ ကတ္အမ်ားစုတြင္ အဆိုပါ Sandbox System မွာ ခ်ိဳးဖ်က္ရန္ လြယ္ကူၿပီး မိုဘိုင္းေငြေခ်စနစ္၏ အခ်က္အလက္မ်ားကို အခက္အခဲမရွိ ရယူနိုင္သည္။

ကြန္ယက္ေထာက္ပံ့သူမ်ားအေနျဖင့္ အသုံးျပဳသူမ်ား၏ အက်ိဳးထိခိုက္နိုင္သည့္ လုံျခဳံေရးအားနည္းခ်က္မ်ားကို အေျဖရွာလ်က္ရွိသည္။ အေမရိကန္နိုင္ငံရွိ ကြန္ယက္ေထာက္ပံ့သူမ်ားျဖစ္ေသာ AT&T ႏွင့္ Verizon တို႔က ၎တို႔၏ ကတ္မ်ားကို ထိုသို႔ျပဳလုပ္ရန္ မလြယ္ကူေၾကာင္း ေျပာၾကားထားသည္။ AT&T လုပ္ငန္းက ၎တို႔အေနျဖင့္ Triple Data Encryption Standards (3DES) ကို သုံးစြဲေနသည္မွာ အခ်ိန္အတန္ ၾကာၿပီျဖစ္ေၾကာင္း အဆိုပါနည္းမွာ Nohl ၏ Error Message ျဖင့္ ထိုးေဖာက္ျခင္းကို ေကာင္းစြာဟန႔္တား နိုင္ေၾကာင္း ေျဖရွင္းခ်က္ေပးသည္။ ကတ္မ်ားအား Sandboxing နည္းျဖင့္ တိုက္ခိုက္ရန္မွာ ျဖစ္နိုင္ေသာ္လည္း ဝွက္စာေဖာ္သည့္ နံပါတ္မရွိေသးပါက အက်ိဳးသက္ေရာက္မွု ရွိလိမ့္မည္မဟုတ္ေပ။

2-2-2016
စီစဥ္တင္ဆက္သူ - Nub90d (MEHN Team)

အဆင္ေျပပါေစ။

                             ျပန္လည္မ်ွေဝသူ-KoHtike(KHMITC)