Security Issues Regarding GSMA ESIMs / EUICCs and Javacard
10 months ago
- #eSIM
- #Security
- #Javacard
- 安全研究员Adam Gowdiak发现GSMA架构中eUICC(eSIM芯片)存在缺陷,特别是Java卡实现中的问题。
- 该问题源于对卡外字节码验证的依赖,这对于eUICC使用的资源受限微控制器来说并不实用。
- Java卡最初为银行业设计,由单一实体(银行)控制小程序加载,通过卡外验证确保安全。
- eSIM架构引入了多方利益相关者(移动网络运营商/虚拟运营商),使得卡外验证变得不安全,因为无法确保所有方都能正确执行验证。
- Oracle和Gemalto在2019年淡化了类似发现,导致行业对这些风险认识不足。
- GSMA的eSIM标准允许多个运营商加载小程序,在没有卡内验证的情况下增加了恶意操作风险。
- TS.48密钥分散等缓解措施针对特定攻击途径,但未能解决更广泛的架构性问题。
- Oracle应改进其参考实现,为资源受限环境加入强大的卡内验证机制。
- GSMA应强制执行安全要求,强制采用卡内验证,并拒绝依赖卡外验证的eUICC认证。
- 行业应超越Java卡或任何需要超出微控制器能力的复杂卡内验证技术。