Edward Snowden revelou que a Agência de Segurança Nacional dos EUA (NSA) e o Comando Geral das Comunicações do Governo Britânico (GCHQ) terão conseguido vencer os sistemas de segurança do maior fabricante de cartões SIM, com o objetivo de espiar as comunicações entre utilizadores de telemóveis de vários pontos do mundo. Pouco depois, alguns operadores estrangeiros anunciaram que iriam investigar os potenciais riscos deste ataque, que foi confirmado pela Gemalto. Em Portugal, Meo, Nos e Vodafone não confirmam se vão proceder a qualquer investigação interna, mas desvalorizam qualquer risco para os utilizadores portugueses.
Por e-mail, fonte oficial da PT relativiza os riscos de espionagem que o “caso Gemalto” pode ter para as comunicações dos utilizadores de telemóvel do Meo: «Face à informação divulgada até ao momento não existe qualquer dado que indicie que a segurança dos cartões SIM comercializados pelas marcas do Meo foi comprometida».
A operadora não confirma nem desmente o uso de cartões SIM da Gemalto – e também não refere o peso que esta marca tem no parque de telemóveis dos clientes do Meo. A operadora prefere lembrar que tem tomado as medidas de segurança que poderão mitigar os eventuais riscos de ataques como aqueles que terão sido desencadeados contra a Gemalto ou outros fornecedores de cartões SIM. «O MEO utiliza, nos seus cartões SIM, algoritmos de encriptação considerados robustos, de acordo com as recomendações da GSM Association, trabalhando ativamente com os seus fornecedores por forma a garantir os mais elevados padrões de qualidade e segurança aos seus Clientes».
A PT detalha ainda que restringiu a compra de cartões SIM que respeitam a Acreditação SAS da GSM Association, que contempla auditorias e renovações anuais de acreditações para os fabricantes como a Gemalto.
Na Vodafone, a hipotética vulnerabilidade das comunicações móveis, a verificar-se, estaria confinada aos telemóveis mais antigos: «Estas alegações (relativas a casos verificados de 2010 em diante) são relativas a um fornecedor de cartões em particular que não integra a lista de fornecedores de cartões SIM da Vodafone Portugal, desde 2006».
À semelhança da PT, a Vodafone Portugal reitera «não ter conhecimento da existência de falhas de segurança nos cartões SIM de nova geração que atualmente disponibiliza aos seus clientes».
Na Nos, a potencial espionagem é apresentada como sendo proporcional ao peso que a Gemalto tem no parque de cartões SIM em uso: «A Gemalto não integra o grupo de principais fornecedores da Nos», explica a operadora por e-mail.
A Nos também diz ter implementado «as soluções mais avançadas do ponto de vista tecnológico», mas logo recorda que pretende acompanhar a evolução deste caso: «A verificar-se a existência de um problema, ele será de natureza global e nessa medida deverá ser acompanhado no âmbito dos fóruns adequados», acrescenta o e-mail de fonte oficial da Nos.
A vulnerabilidade alegadamente explorada pela NSA e pelo GCHQ tem por base o desvio de parte das chaves de encriptação usadas pelos cartões SIM para se conectarem aos retransmissores que suportam as redes móveis. A Gemalto garante que, antes de 2010, já havia disponibilizado tecnologias que impedem este tipo de intrusão. A mais recente vaga de denúncias de Edward Snowden revela que 98% dos ataques incidiram em sistemas mais antigos que não teriam implementadas as proteções necessárias para proteger as chaves usadas por telemóveis e postos retransmissores. O que não invalida a existência de ataques bem-sucedidos noutros sistemas: dois por cento das intrusões foram levadas a cabo em dispositivos de segurança mais avançados.
