Лаборатория, занимающаяся информационной безопасностью Security Explorations, нашла уязвимости в технологии eSIM. Объектом стала eUICC‑карта компании Kigen. Эта карта использует Java Card и сертифицирована по стандартам GSMA. Карта считалась защищённой. У неё была сертификация EAL4+, защита памяти и другие меры. Однако исследователи получили контроль над картой.
Подобные уязвимости были известны с 2019 года. Проблемы были связаны с байткодом Java Card. Ошибки возникали при работе с типами данных. Эти ошибки были как в реализации Oracle, так и в карте Kigen.
Security Explorations использовала собственные инструменты, автоматически проверяющие байткод, память, стек и переменные. Эти средства применялись для анализа Kigen и тестов в сетях. Архитектура карты позволяет обходить защиту.
ИБ‑специалисты провели атаку. Они установили вредоносное Java‑приложение через SMS. Им удалось извлечь закрытый ключ ECC, что дало доступ к eSIM‑профилям разных операторов. В списке были AT&T, Vodafone, Orange, T‑Mobile и другие.
Украденные профили содержали сетевые настройки, ключи OTA, идентификаторы, Java‑приложения и служебные данные. Некоторые из них можно было изменить и установить заново. Обнаружить кражу профилей или какие‑то изменения сотовый оператор не мог.
Атака на сеть Orange показала, что можно клонировать eSIM. Дубликат на другом устройстве принимал звонки и SMS. Основной пользователь ничего не получал. Сеть считала доставку успешной. Kigen признала уязвимость и выплатила $30 тысяч исследователям. GSMA изменила спецификацию TS.48. Теперь установка Java‑приложений в тестовых профилях запрещена.
Были протестированы и другие карты. Чип Giesecke+Devrient оказался устойчивым. К другим вендорам исследователи доступа не имели из‑за закрытых условий или NDA. Также Security Explorations рассказала о проблемах на стороне серверов. Серверы не отклоняли сертификаты с взломанных карт. Это касается серверов IDEMIA и Thales. Проверка и мониторинг на этих серверах не сработали.
Источник: habr.com