Analitycy cyberbezpieczeństwa odkryli nową technikę ataku, która wykorzystuje podatności w technologii eSIM, stosowanej w nowoczesnych smartfonach. Luka ta oznacza poważne zagrożenie dla prywatności i bezpieczeństwa danych użytkowników. Problem dotyczy dokładnie modeli kart Kigen eUICC. Jak podaje irlandzka firma Kigen na swojej stronie głównej, do grudnia 2020 roku aktywowano ponad dwa miliardy takich kart SIM w urządzeniach IoT.
Odkrycie należy do specjalistów Security Explorations, laboratorium firmy AG Security Research. Za raport opisujący podatność Kigen przyznał bug hunterom nagrodę w wysokości 30 000 dolarów.
Technologia eSIM (embedded SIM) to cyfrowa wersja tradycyjnej karty SIM, zintegrowana bezpośrednio z urządzeniem w postaci oprogramowania instalowanego na chipie eUICC (Embedded Universal Integrated Circuit Card). Pozwala ona użytkownikom aktywować plan komórkowy bez posiadania fizycznej karty SIM oraz zdalnie zarządzać profilami operatorów.
„Karta eUICC umożliwia instalację tzw. profili eSIM w układzie scalonym” – wyjaśnia Security Explorations. „Profile eSIM to programowe odpowiedniki tradycyjnych abonamentów komórkowych”.
Zgodnie z ostrzeżeniem wydanym przez Kigen podatność wynika z używania ogólnego profilu testowego GSMA TS.48 w wersji 6.0 i starszych. Profil ten wykorzystywany był do testowania zgodności radiowej w produktach eSIM. Błąd pozwala na instalację niezweryfikowanych, a nawet złośliwych apletów. Problem został częściowo rozwiązany w wersji 7.0 specyfikacji GSMA TS.48, wydanej w zeszłym miesiącu – ogranicza ona użycie profilu testowego. Wcześniejsze wersje specyfikacji zostały oficjalnie wycofane.
„Skuteczne wykorzystanie luki wymaga spełnienia określonych warunków – atakujący musi najpierw uzyskać fizyczny dostęp do eUICC oraz posłużyć się publicznie znanymi kluczami” – poinformowało Kigen. „Pozwala to na instalację złośliwego apletu JavaCard”.
Dalsze konsekwencje podatności są jeszcze poważniejsze – może ona umożliwić kradzież certyfikatu tożsamości Kigen eUICC, co z kolei daje atakującym możliwość pobierania profili operatorów komórkowych w postaci jawnego tekstu, uzyskania dostępu do poufnych danych MNO, a nawet manipulowania profilami i instalowania ich na dowolnym urządzeniu bez wiedzy operatora.
Security Explorations zaznacza, że wyniki badań opierają się na wcześniejszych analizach z 2019 roku, w których zidentyfikowano szereg luk w zabezpieczeniach technologii Java Card, stosowanej m.in. w kartach SIM firmy Gemalto. Jedna z tych podatności umożliwiała zainstalowanie w karcie trwałego backdoora.
Według specjalistów exploity mogą być wykorzystane do przełamania zabezpieczeń pamięci maszyny wirtualnej Java Card, obejścia zapory apletów i uzyskania pełnego dostępu do pamięci karty – a nawet wykonania natywnego kodu. Oracle zbagatelizowało skalę zagrożenia, twierdząc, że obawy dotyczące bezpieczeństwa nie miały wpływu na produkcję Java Card VM. Security Explorations utrzymuje jednak, że były to realne i potwierdzone błędy.
Choć ataki wydają się skomplikowane, eksperci ostrzegają, że są one w zasięgu państwowych grup hakerskich. Umożliwiają przechwycenie komunikacji przez instalację ukrytego backdoora w karcie eSIM.
„Pobrany profil może zostać zmodyfikowany tak, by operator stracił nad nim kontrolę – bez możliwości zdalnego zarządzania, wyłączenia czy unieważnienia. Może również uzyskać fałszywy obraz stanu profilu, a cała jego aktywność może być monitorowana. Naszym zdaniem możliwość pozyskania – w formie jawnej – profili eSIM dowolnego operatora przez osobę, która złamała eUICC lub przejęła certyfikat GSMA eUICC, stanowi poważne zagrożenie dla całej architektury eSIM” – podsumowuje Security Explorations.