Bei einer eSIM handelt es sich um eine digitale SIM-Karte, die direkt in ein Smartphone oder Tablet eingebaut ist und als Software auf einem Embedded Universal Integrated Circuit Card (eUICC) Chip installiert ist. Über eSIM-Karten können die Nutzer die Dienste ihres Netzanbieters aktivieren, ohne eine physische SIM-Karte einlegen zu müssen und die eUICC-Technologie ermöglicht den schnellen Wechsel zwischen unterschiedlichen Providern und die Verwaltung von SIM-Profilen, etwa wenn mehrere Verträge vorliegen.

Laut einem von Kigen veröffentlichten Advisory befindet sich die nun entdeckte Schwachstelle im GSMA TS.48 Generic Test Profil, Version 6.0 und früher, das in eSIM-Produkten für die Prüfung der Funkkonformität verwendet wird. Sie ermöglicht die Installation von nicht verifizierten und potenziell bösartigen Applets. Die GSMA TS.48 v7.0, die im letzten Monat veröffentlicht wurde, entschärft das Problem, indem sie die Verwendung des Testprofils einschränkt. Alle anderen Versionen der TS.48-Spezifikation sind inzwischen veraltet.

Die gute Nachricht: Laut der Sicherheitsforscher müssen ganz bestimmte Bedingungen erfüllt sein, damit die Sicherheitslücke ausgenutzt werden kann. Ein Angreifer müsste sich zunächst physischen Zugang zu einer Ziel-eUICC verschaffen und dort bekannte Schlüssel verwenden. Dies ermöglicht es dem Angreifer, ein bösartiges JavaCard-Applet zu installieren. Darüber hinaus könnte die Schwachstelle die Extraktion des Kigen eUICC-Identitätszertifikats erleichtern, wodurch es möglich wäre, beliebige Profile von Mobilfunknetzbetreibern im Klartext herunterzuladen, auf deren Geheimnisse zuzugreifen und Profile zu manipulieren und sie in eine beliebige eUICC einzubauen, ohne vom Netzanbieter erkannt zu werden.

Laut Security Explorations bauen die Ergebnisse auf eigenen früheren Untersuchungen aus dem Jahr 2019 auf, in denen mehrere Schwachstellen in Oracle Java Card gefunden wurden, die den Weg für den Einsatz einer dauerhaften Hintertür in der Karte ebnen könnten. Eine der Lücken betraf auch die Gemalto SIM, die auf der Java Card-Technologie basiert. Cyberkriminelle könnten so die Speichersicherheit der zugrundeliegenden Java Card VM beeinträchtigen, vollen Zugriff auf den Kartenspeicher erhalten, die Applet-Firewall durchbrechen und möglicherweise sogar nativen Code ausführen. Oracle spielte die damaligen Erkenntnisse der Sicherheitsforscher herunter und gab an, dass die Sicherheitsbedenken keine Auswirkungen auf die Produktion der Java Card VM hätten.

Das könnte sich jetzt als Fehler herausstellen, denn laut Security Explorations haben sich die Bedenken nun als echte Bugs herausgestellt. Zwar dürften sich die beschriebenen Angriffe nicht für den Einsatz im großen Stil lohnen, doch für gut ausgebildete Hacker, beispielsweise im Bereich der Geheimdienste und der Spionage, sind sie durchaus machbar. Sie könnten eine eSIM-Karte kompromittieren und eine heimliche Hintertür einbauen, um die gesamte Kommunikation ihrer Zielperson abzufangen.  Hinzu kommt, dass das heruntergeladene Profil potenziell so verändert werden kann, dass der Betreiber die Kontrolle über das Profil verliert, dem Betreiber ein völlig falsches Bild vom Zustand des Profils vermittelt wird oder alle seine Aktivitäten überwacht werden können. Nach Meinung der Sicherheitsforscher besteht so die Möglichkeit, dass Kriminelle mit einer einzigen defekten eUICC bzw. einem einzigen Diebstahl eines eUICC GSMA-Zertifikats eSIMs beliebiger Netzbetreiber ausspähen können, was eine erhebliche Schwachstelle in der eSIM-Architektur darstellt.