IMSI含真实号码而非随机数引发安全担忧,LG Uplus启动USIM更换措施(综合)
从下月13日起
面向有意愿用户重新设置或更换USIM
有消息显示,LG Uplus(LG유플러스)在设计用于识别用户的国际移动用户识别码(IMSI)时,将实际电话号码反映在其中,暴露出安全漏洞。此种方式虽然并未违反相关规定,但鉴于安全隐患已被指出,LG Uplus已开始采取包括更换用户识别模块(USIM)在内的应对措施。
据移动通信业界17日消息,自2011年引入第四代移动通信(4G)以来直至目前,LG Uplus一直以包含部分用户真实电话号码的方式发放IMSI值。IMSI是移动通信运营商用于识别用户的信息,存储在用户识别模块中,由国家代码、移动通信运营商代码和用户号码等构成,共15位的唯一编号。相反,据悉SK Telecom和KT在用户号码部分并不使用真实电话号码,而是采用随机数。随机数是指无法推知规律、以无序方式赋予的数字。
LG Uplus在IMSI中写入真实用户电话号码,与其过去的业务模式有关。SK Telecom和KT在过去仍使用第二代移动通信(2G)及第三代移动通信(3G)时代起,就选择了使用用户识别模块的“宽带码分多址”(WCDMA)方式。但LG Uplus则通过“码分多址”(CDMA)方式提供通信服务。CDMA不使用用户识别模块,而是将终端的唯一编号直接登记到运营商的电算系统中,可以视为将电话号码与用户信息捆绑管理。LG Uplus已于2021年终止CDMA服务。
虽黑客入侵可能性不大,但存在克隆手机制作等安全威胁
仅凭IMSI值实施黑客攻击确实较为困难。要真正完成黑客攻击,还需要终端唯一识别值——国际移动设备识别码(IMEI)以及用户识别模块认证密钥。不过,有舆论指出,能够识别个人的信息长期处于可被预测的状态而被放任不管。此外,一旦与其他信息结合,可能立即演变为制作克隆手机等安全威胁。据悉,意识到问题的科学技术信息通信部(科学技术信息通信部)、韩国互联网振兴院(KISA)以及国会科学技术信息广播通信委员会,已为讨论对策与LG Uplus举行了两次会议。
LG Uplus方面表示,虽然并未违反相关规定,但将为强化安全采取措施。LG Uplus决定引入IMSI体系随机化机制,并自下月13日起,面向有意愿的用户启动用户识别模块重设或更换工作。此外,该公司计划通过今年11月的软件更新,开发并应用一项无需物理更换也能变更IMSI的技术。LG Uplus首席技术官(CTO)Lee Sangyeob表示:“现有IMSI体系符合国际标准,一直安全运营”,“在第五代移动通信(5G)独立组网(SA)中,我们将通过对IMSI进行加密,进一步提升客户信息保护水平。”
智能手机用户对移动通信运营商的安全问题高度敏感。仅在去年,SK Telecom就发生约2700万条用户识别模块信息泄露事件,KT出现约2.4亿韩元的未经授权小额支付,LG Uplus则被曝出账号管理服务器疑似遭黑客入侵等,一连串黑客事故接连发生。科学技术信息通信部部长Bae Kyunghoon去年9月就移动通信运营商的黑客事故表示,将“思考并寻找比以往快半步、快一步的应对方案和解决办法”。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
