Эксперты Security Explorations нашли уязвимости в технологии eSIM. Объектом стала eUICC‑карта компании Kigen — она использует Java Card, сертифицирована по стандартам GSMA и считалась защищённой (сертификация EAL4+, защита памяти и другие меры).
Подобные уязвимости были известны с 2019 года. Проблемы были связаны с байткодом Java Card. Ошибки возникали при работе с типами данных — они отметились как в реализации Oracle, так и в карте Kigen. Security Explorations использовала собственные инструменты, автоматически проверяющие байткод, память, стек и переменные. Эти средства применялись для анализа Kigen и тестов в сетях (архитектура карты позволяет обходить защиту).
ИБ‑специалисты провели атаку: установили вредоносное Java‑приложение через SMS и извлекли закрытый ключ ECC, что дало доступ к eSIM‑профилям разных операторов. В списке были AT&T, Vodafone, Orange, T‑Mobile и другие. Украденные профили содержали сетевые настройки, ключи OTA, идентификаторы, Java‑приложения и служебные данные. Некоторые из них можно было изменить и установить заново. Обнаружить кражу профилей или какие‑то изменения сотовый оператор не мог.
Атака на сеть Orange показала, что можно клонировать eSIM. Дубликат на другом устройстве принимал звонки и SMS. Основной пользователь ничего не получал. Сеть считала доставку успешной. Kigen признала уязвимость и выплатила 30 тыс. долларов исследователям. GSMA изменила спецификацию TS.48 — теперь установка Java‑приложений в тестовых профилях запрещена.
Были протестированы и другие карты. Чип Giesecke+Devrient оказался устойчивым. К другим вендорам исследователи доступа не имели из‑за закрытых условий или NDA. Также Security Explorations рассказала о проблемах на стороне серверов — те не отклоняли сертификаты с взломанных карт. Это касается оборудования IDEMIA и Thales — проверка и мониторинг на этих серверах не сработали.
