Хакер #315. Positive Hack Days Fest 3
Исследователи AG Security Research обнаружили уязвимости в технологии eSIM, используемой в современных смартфонах. Проблемы затрагивают программный пакет eUICC компании Kigen, который используют миллиарды устройств.
Встраиваемые SIM-карты (Embedded SIMs или eSIM) становятся все популярнее. Они устраняют необходимость использования физических SIM-карт в мобильных телефонах и IoT-устройствах. И одним из важных компонентов экосистемы eSIM являются чипы eUICC (embedded Universal Integrated Circuit Card), которые встраиваются в устройство, позволяя удаленно устанавливать SIM-карты и использовать несколько профилей для подключения к различным мобильным сетям.
По данным Kigen, еще по состоянию на декабрь 2020 года в IoT-устройствах использовались около двух миллиардов таких SIM-карт.
Согласно бюллетеню безопасности, выпущенному Kigen на прошлой неделе, обнаруженная экспертами проблема затрагивает GSMA TS.48 Generic Test Profile, версии 6.0 и более ранних, который используется в eSIM-продуктах для тестирования на соответствие требованиям связи.
Фактически исследователи обнаружили, что некоторые мобильные операторы поставляют «тестовый профиль» для eUICC Kigen, который использует секретный ключ по умолчанию для защиты данных eSIM. Этот секретный ключ может быть извлечен с устройства, к которому злоумышленник имеет физический доступ, и впоследствии может использоваться для подписи и развертывания неверифицированных и вредоносных апплетов Java Card. Такие апплеты могут применяться для атак на виртуальную машину Java Card VM, которая работает на чипе eUICC.
GSMA TS.48 v7.0, выпущенный в прошлом месяце, устраняет проблему, ограничивая использование тестового профиля и предотвращая установку удаленных апплетов. Прочие версии спецификации TS.48 уже не используются.
«Для успешной эксплуатации проблемы требуется сочетание ряда факторов. Сначала злоумышленник должен получить физический доступ к целевому eUICC и использовать публично доступные ключи, — объясняют в Kigen. — Это позволит ему установить вредоносный апплет Java Card».
Также уязвимость может облегчить извлечение идентификационного сертификата Kigen eUICC, что позволит загружать произвольные профили операторов мобильной связи в незашифрованном виде, получать доступ к конфиденциальной информации, изменять эти профили и развертывать их на любых eUICC (без обнаружения со стороны оператора).
В AG Security Research говорят, что это исследование основывается на результатах предыдущего анализа, проведенного в 2019 году. Тогда были обнаружены многочисленные уязвимости в Oracle Java Card, которые позволяли развернуть постоянный бэкдор. Один из багов также затрагивал Gemalto SIM, которая опирается на технологию Java Card.
Эти проблемы могли использоваться для «нарушения безопасности памяти базовой виртуальной машины Java Card VM», получения полного доступа к памяти карты, взлома брандмауэра апплета, а также выполнения нативного кода.
Однако тогда представители Oracle заявили, что эти «опасения по поводу безопасности» не затрагивают промышленную версию Java Card VM, а также постарались снизить значимость проблемы. Как заявляют в AG Security Research, теперь доказано, что эти «опасения» были вполне реальными багами.
Хотя такие атаки могут показаться сложными, исследователи уверяют, что подобное вполне по силам APT-группировкам. Уязвимости позволяют скомпрометировать и клонировать eSIM, а также установить скрытый бэкдор, перехватывающий все коммуникации.
Хотя текущее исследование касается решений Kigen, уязвимыми для подобных атак могут оказаться и eUICC-решения других поставщиков, поскольку основная проблема связана с серией старых уязвимостей в Java Card.
«Загруженный профиль потенциально может быть изменен таким образом, что оператор потеряет контроль над ним (нет возможности удаленного управления, нет возможности отключить, аннулировать его и так далее). Оператор может получать полностью ложную картину о состоянии профиля, а вся активность может отслеживаться, — объясняют эксперты. — На наш взгляд, возможность скомпрометировать eSIM-профили произвольного оператора за счет одного взломанного eUICC или кражи одного GSMA-сертификата eUICC — это серьезная архитектурная проблема eSIM в целом».
За обнаружение этих проблем специалисты AG Security Research получили 30 000 от Kigen по программе bug bounty.
