2021/06/18

Rede 2G teve segurança propositadamente reduzida

Como se não bastassem os riscos de segurança acidentais, descobriu-se agora que a velha rede 2G / GPRS teve a segurança propositadamente reduzida por motivos políticos.

Hoje em dia é praticamente inevitável que existem falhas de segurança em qualquer produto electrónico ou serviço digital; no entanto, investigadores de diversas universidades ficaram muito surpreendidos ao estudar os algoritmos de encriptação GEA-1 e GEA-2 usado no GPRS das rede 2G. Apesar de serem algoritmos fechados, a sua tentativa de os replicar revelou uma situação curiosa: o algoritmo oficial era sempre mais inseguro que o seu, até mesmo quando propositadamente reduziam a sua segurança.

Isto permitiu descobrir que em vez da segurança de uma encriptação de 64-bits como era prometida, os algoritmos oficiais tinham sido deliberadamente restringidos a 40-bits, o que os torna exponencialmente mais inseguros e, neste caso, permitindo que todas as comunicações possam ser descodificadas.

O ETSI (European Telecommunications Standard Institute) responsável pela sua criação tenta defender-se dizendo que a redução na segurança se deveu às regras de exportação europeias, que impediam a utilização do algoritmo com a segurança máxima, mas isso não deixa de ser uma explicação muito estranha, tendo em conta que dessa forma colocaram em risco todos os milhares de milhões de pessoas que alguma vez usaram um telemóvel, incluindo todos os cidadãos europeus.

Apesar destes algoritmos já serem considerados obsoletos e de utilização desaconselhada, muitos dispositivos ainda os utilizam como recurso quando não existe uma rede 3G disponível - pelo que a sua falta de segurança é algo que ainda nos dias de hoje poderá afectar incontáveis utilizadores espalhados pelo mundo.

3 comentários:

  1. Nada de novo.

    Nem a rede "6G" será segura, os políticos fazem questão, ponto de honra mesmo, que nenhuma rede telefónica pública pode ser verdadeiramente segura, porque querem intercetar as comunicações (tanto doméstica como de outros países). Veja-se as pressões que fazem junto das empresas de aplicativos de mensagens que utilizam cifra ponto-a-ponto para não o fazerem de forma segura e assim conseguirem intercetar as mesmas... e as mais populares não são verdadeiramente seguras (WhatsApp, Signal, Skype, Messenger, Telegram)... nenhuma destas força um certificado de identidade/ autenticação que garante que é mesmo aquela pessoa e não outra a meter-se no meio, mesmo que mude de dispositivo, e impeça os outros de receber as mensagens caso o certificado mude (para impedir que alguém se meta no meio e comece a reenviar as mensagens ficando com uma cópia... ou até que suprima/ modifique as mensagens/ conteúdos).

    ResponderEliminar
  2. Este comentário foi removido pelo autor.

    ResponderEliminar
  3. Resultados à Vodafone Portugal - NOS Portugal e altice Portugal.

    Na altice Portugal estranhamente indica que não tem cifra. A NOS Portugal e a Vodafone Portugal estão a usar a GEA/3.

    https://twitter.com/ricardorsaraiva/status/1405935425672318977?s=20

    ResponderEliminar