Neu entdeckte Sicherheitslücke im eSIM-Bereich ermöglicht Klonen und Übernahme von digitalen SIM-Profilen auf Milliarden von Geräten weltweit
Das in Polen ansässige Sicherheitsunternehmen Security Exploration hat erfolgreich die Kigen eUICC-Chip-Plattform gehackt, die als gängige Basis für eingebettete SIM-Karten (eSIM) dient. Große Mobilfunkanbieter wie AT&T, T-Mobile, Vodafone und China Mobile verwenden diesen Chip in Mobiltelefonen, IoT-Geräten und industriellen Systemen.
Die Untersuchungen zeigen, dass Angreifer private Zertifikate extrahieren, eSIM-Profile entschlüsseln und Benutzeridentitäten klonen können – oftmals ohne physischen Zugriff auf das Gerät.
Warum ist die Sicherheitslücke so gefährlich?
Ein eSIM ist eine digitale SIM-Karte, die in einem Chip namens eUICC gespeichert ist. Im Gegensatz zu physischen SIM-Karten ermöglichen eSIMs eine Fernkonfiguration und einen nahtlosen Wechsel zwischen Mobilfunkanbietern. Diese Flexibilität birgt jedoch erhebliche Risiken.
Die Forscher entdeckten, dass die Sicherheitslücke auf einer verwundbaren Implementierung der Java Card Virtual Machine (JavaCard VM) basiert. Dadurch können Angreifer nicht verifizierte Java-Applets mit fehlerhafter Bytecode-Struktur einschleusen und so wichtige Validierungsmechanismen umgehen.
Die Angriffe lassen sich „over the air“ (OTA), also drahtlos durchführen, wodurch kein physischer Zugriff auf das Gerät notwendig ist.
„Wir konnten erfolgreich Anrufe und SMS von legitimen Nutzern kapern“, berichten die Forscher und bestätigen das Klonen realer Profile bei mehreren Mobilfunkanbietern.
Klonen demonstriert auf Android- und Apple-Geräten
In Proof-of-Concept-Tests klonten die Forscher ein eSIM-Profil von Orange Poland und luden es auf neue Smartphones – sowohl Android- als auch Apple-Geräte.
Mit Kigen-Zertifikaten luden sie entschlüsselte Profile von mehreren Mobilfunknetzbetreibern herunter, darunter:
- AT&T
- Vodafone
- O2
- Orange
- T-Mobile
- China Mobile
- Bouygues Telecom
Die gestohlenen Profile enthalten Betreibergeheimnisse, Abonnentendaten und Verschlüsselungsschlüssel – Informationen, die eigentlich unknackbar sein sollten.
Die Forscher argumentieren, dass die Sicherheitslücke es Angreifern erlaubt, eSIM-Inhalte unbemerkt zu manipulieren. Mobilfunkanbieter bemerken möglicherweise nicht, dass ein Profil verändert wurde.
Reaktion von Kigen und verbleibende Probleme
Kigen bestätigte die Sicherheitslücke und belohnte die Forscher mit einer Bug-Bounty in Höhe von 30.000 US-Dollar. Ein Patch wurde an Kunden verteilt, der einige Angriffsvektoren durch Überprüfung der JavaCard-Instruktionen auf Anomalien abdeckt.
Dennoch behaupten die Forscher, dass dieser Fix nicht den grundlegenden architektonischen Fehler behebt: Es fehlt eine korrekte Kontrolle des Kontrollflusses (Control-Flow-Tracking). Der Angriff ist prinzipiell weiterhin möglich.
„Dies ist ein fundamentales Problem in der JavaCard VM selbst“, heißt es im Bericht. Das Team warnte GSMA und das Oracle Java Card-Team, dass das gesamte eSIM-Ökosystem betroffen sein könnte – nicht nur das Produkt von Kigen. Sie betonten, dass die Angriffsfläche weiterhin besteht, solange Entwickler keine vollständige Bytecode-Verifizierung durchsetzen.
Fazit
Die Sicherheitslücke im eSIM-Bereich wirft ernste Fragen zur Integrität der mobilen Kommunikation auf. Mit über zwei Milliarden Kigen-basierter eSIMs im Umlauf ist das Risiko groß und dringend.
Obwohl Patches veröffentlicht wurden, warnen Experten vor tieferliegenden systemischen Schwachstellen. Mit der zunehmenden Verbreitung von eSIM als neuem Mobilfunkstandard könnte die komplexe Architektur Cyberkriminellen und staatlichen Akteuren eine mächtige neue Angriffsmöglichkeit bieten – eine, die Hardware umgeht und direkt den Kern der mobilen Identität angreift.
0 Antworten zu „eSIM-Sicherheitslücke gefährdet Milliarden: Klonen und Fernangriffe möglich“