Los investigadores de ciberseguridad han descubierto una nueva técnica de piratería que explota las debilidades en la tecnología ESIM utilizada en los teléfonos inteligentes modernos, exponiendo a los usuarios a riesgos severos.
Los problemas afectan la maleable Kigen EUICC. Según el sitio web de la compañía irlandesa, más de dos mil millones de sims en dispositivos IoT han sido habilitados a partir de diciembre de 2020.
Los hallazgos provienen de Security Explorations, un laboratorio de investigación de AG Security Research Company. Kigen otorgó a la compañía una premio de $ 30,000 por su documentación.
Un ESIM, o SIM incrustado, es una maleable SIM digital que está integrada directamente en un dispositivo como software instalado en un chip de la maleable de circuito integrado Universal (EUICC) integrado.
ESIMS permite a los usuarios activar un plan celular desde un portador sin la pobreza de una maleable SIM física. El software EUICC ofrece la capacidad de cambiar los perfiles de operadores, el aprovisionamiento remoto y la dirección de los perfiles SIM.
«La maleable EUICC hace posible instalar los llamados perfiles ESIM en el chip de destino», dijo Security Explorations. «Los perfiles ESIM son representaciones de software de suscripciones móviles».
Según un aviso publicado por Kigen, la vulnerabilidad se basamento en el perfil de prueba genérico GSMA Ts.48, versiones 6.0 y anteriores, que se dice que se utiliza en productos ESIM para pruebas de cumplimiento de radiodifusión.
Específicamente, la deficiencia permite la instalación de applets no verificados y potencialmente maliciosos. GSMA TS.48 V7.0, arrojado el mes pasado, mitiga el problema restringiendo el uso del perfil de prueba. Todas las demás versiones de la delimitación TS.48 se han desaprobado.
«La explotación exitosa requiere una combinación de condiciones específicas. Un atacante primero debe obtener paso físico a un EUICC objetivo y usar claves conocidas públicamente», dijo Kigen. «Esto permite al atacante instalar un applet malvado de Javacard».
Adicionalmente, la vulnerabilidad podría simplificar la extirpación del certificado de identidad Kigen EUICC, lo que permite descargar perfiles arbitrarios de los operadores de redes móviles (MNO) en ClearText, Access MNO Secrets y tambalearse con perfiles y ponerlos en una EUICC arbitraria sin ser impresionado por MNO.
Security Explorations dijo que los hallazgos se basan en su propia investigación previa de 2019, que encontró múltiples vulnerabilidades de seguridad en la maleable Oracle Java que podría allanar el camino para el despliegue de una puerta trasera persistente en la maleable. Uno de los defectos además impactó a Gemalto Sim, que depende de la tecnología de tarjetas Java.
Estos defectos de seguridad se pueden explotar para «romper la seguridad de la memoria de la maleable Java VM subyacente» y obtener paso completo a la memoria de la maleable, romper el firewall de applet y potencialmente incluso conseguir la ejecución del código nativo.
Sin bloqueo, Oracle minimizó el impacto potencial e indicó que las «preocupaciones de seguridad» no afectaron su producción de Java Card VM. Las exploraciones de seguridad dijeron que estas «preocupaciones» ahora se han demostrado que son «errores reales».
Los ataques pueden sonar prohibitivos para ejecutar, pero, por el contrario, están al calibre de los grupos capaces de estado-nación. Podrían permitir a los atacantes comprometer una maleable ESIM y desplegar una puerta trasera sigilosa, interceptando efectivamente todas las comunicaciones.
«El perfil descargado se puede modificar potencialmente de tal modo, de modo que el cámara pierde el control sobre el perfil (ninguna capacidad de control remoto / ninguna capacidad de deshabilitarlo / invalidarlo, etc.), el cámara puede proporcionar una panorámica completamente falsa del estado del perfil o toda su actividad puede estar sujeta a monitoreo», agregó la compañía.
«En nuestra opinión, la capacidad de un solo robo de certificado EUICC / EUICC GSMA de EUICC solo para mirar (descargar en texto sin formato) ESIM de MNO arbitraria constituye un significativo punto débil de la bloque ESIM».
