<div id="post_message_803243">

Исследователи AG Security Research <a href="https://security-explorations.com/esim-security.html" target="_blank">обнаружили уязвимости</a> в технологии eSIM, используемой в современных смартфонах. Проблемы затрагивают программный пакет eUICC компании Kigen, который используют миллиарды устройств.<br/>
<br/>
Встраиваемые SIM-карты (Embedded SIMs или eSIM) становятся все популярнее. Они устраняют необходимость использования физических SIM-карт в мобильных телефонах и IoT-устройствах. И одним из важных компонентов экосистемы eSIM являются чипы eUICC (embedded Universal Integrated Circuit Card), которые встраиваются в устройство, позволяя удаленно устанавливать SIM-карты и использовать несколько профилей для подключения к различным мобильным сетям.<br/>
<br/>
По <a href="https://kigen.com/resources/press-releases/over-2-billion-kigen-sims/" target="_blank">данным Kigen</a>, еще по состоянию на декабрь 2020 года в IoT-устройствах использовались около двух миллиардов таких SIM-карт.<br/>
<br/>
Согласно <a href="https://kigen.com/company/policies/security-center/security-bulletin-kgnsb-07-2025/" target="_blank">бюллетеню безопасности</a>, выпущенному Kigen на прошлой неделе, обнаруженная экспертами проблема затрагивает GSMA TS.48 Generic Test Profile, версии 6.0 и более ранних, который используется в eSIM-продуктах для тестирования на соответствие требованиям связи.<br/>
<br/>
Фактически исследователи обнаружили, что некоторые мобильные операторы поставляют «тестовый профиль» для eUICC Kigen, который использует секретный ключ по умолчанию для защиты данных eSIM. Этот секретный ключ может быть извлечен с устройства, к которому злоумышленник имеет физический доступ, и впоследствии может использоваться для подписи и развертывания неверифицированных и вредоносных апплетов Java Card. Такие апплеты могут применяться для атак на виртуальную машину Java Card VM, которая работает на чипе eUICC.<br/>
<br/>
<a href="https://www.gsma.com/get-involved/working-groups/gsma_resources/ts-48-v7-0-generic-euicc-test-profile-for-device-testing/" target="_blank">GSMA TS.48 v7.0</a>, выпущенный в прошлом месяце, устраняет проблему, ограничивая использование тестового профиля и предотвращая установку удаленных апплетов. Прочие версии спецификации TS.48 уже не используются.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Для успешной эксплуатации проблемы требуется сочетание ряда факторов. Сначала злоумышленник должен получить физический доступ к целевому eUICC и использовать публично доступные ключи, — объясняют в Kigen. — Это позволит ему установить вредоносный апплет Java Card».</font>
</td>
</tr>
</table>
</div>Также уязвимость может облегчить извлечение идентификационного сертификата Kigen eUICC, что позволит загружать произвольные профили операторов мобильной связи в незашифрованном виде, получать доступ к конфиденциальной информации, изменять эти профили и развертывать их на любых eUICC (без обнаружения со стороны оператора).<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/537688/gmail_esim_clone_test.png"/><br/>
<br/>
В AG Security Research говорят, что это исследование основывается на результатах <a href="https://security-explorations.com/sim-usim-cards.html" target="_blank">предыдущего анализа</a>, проведенного в 2019 году. Тогда были обнаружены многочисленные уязвимости в Oracle Java Card, которые позволяли развернуть постоянный бэкдор. Один из багов также затрагивал Gemalto SIM, которая опирается на технологию Java Card.<br/>
<br/>
Эти проблемы могли использоваться для «нарушения безопасности памяти базовой виртуальной машины Java Card VM», получения полного доступа к памяти карты, взлома брандмауэра апплета, а также выполнения нативного кода.<br/>
<br/>
Однако тогда представители Oracle заявили, что эти «опасения по поводу безопасности» не затрагивают промышленную версию Java Card VM, а также постарались снизить значимость проблемы. Как заявляют в AG Security Research, теперь доказано, что эти «опасения» были вполне реальными багами.<br/>
<br/>
Хотя такие атаки могут показаться сложными, исследователи уверяют, что подобное вполне по силам APT-группировкам. Уязвимости позволяют скомпрометировать и клонировать eSIM, а также установить скрытый бэкдор, перехватывающий все коммуникации.<br/>
<br/>
Хотя текущее исследование касается решений Kigen, уязвимыми для подобных атак могут оказаться и eUICC-решения других поставщиков, поскольку основная проблема связана с серией старых уязвимостей в Java Card.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Загруженный профиль потенциально может быть изменен таким образом, что оператор потеряет контроль над ним (нет возможности удаленного управления, нет возможности отключить, аннулировать его и так далее). Оператор может получать полностью ложную картину о состоянии профиля, а вся активность может отслеживаться, — объясняют эксперты. — На наш взгляд, возможность скомпрометировать eSIM-профили произвольного оператора за счет одного взломанного eUICC или кражи одного GSMA-сертификата eUICC — это серьезная архитектурная проблема eSIM в целом».</font>
</td>
</tr>
</table>
</div>За обнаружение этих проблем специалисты AG Security Research получили 30 000 от Kigen по программе bug bounty.<br/>
<br/>
<a href="https://xakep.ru/2025/07/14/esim-problems/" target="_blank">@ xaker.ru</a>
</div>