Milliardlab eSIMlar buzilish xavfi ostida
3
301
0
Tadqiqotchilar keng foydalaniladigan, eSIM (o‘rnatilgan SIM) profillarini saqlovchi chipni muvaffaqiyatli buzib kirishdi, bu esa milliardlab foydalanuvchilarni SIM karta klonlash, soxtalashtirish, ularni kuzatish va boshqa xavfsizlik muammolariga duchor qildi.
Polshada joylashgan Security Exploration xavfsizlik tadqiqot laboratoriyasi Kigen tomonidan ishlab chiqilgan ichki Universal birikmaviy sxema kartasini (eUICC) muvaffaqiyatli buzganini bildirdi.
Bu hakerlik hujumchilarga sertifikatlarni olish va shifrlanmagan eSIM profillari hamda boshqa nozik ma’lumotlarni yuklab olish imkonini beradi, bu esa AT&T, Vodafone, T-Mobile yoki China Mobile kabi yirik operatorlar foydalanuvchilariga ta’sir qiladi.
Hisobotda tasdiqlanishicha, hujumchilar ushbu xatodan foydalanib, eSIMlarni klonlash va soxtalashtirishlari mumkin. Kigen eSIM mahsulotlari sanoatdagi IoTdan tortib iste’mol qurilmalarigacha bo‘lgan IoT ilovalarida qo‘llaniladi.
“GSMA TS.48 Umumiy Sinov Profili (v6.0 va undan oldingi talqinlar)da mavjud bo‘lgan zaiflik, sanoatdagi barcha eSIM mahsulotlarida radio muvofiqlik sinovlari uchun ishlatiladi, tasdiqlanmagan va ehtimoliy xavfli ilovalarni o‘rnatishga imkon beradi,” deya ma’lum qildi Kigen xavfsizlik hisobotida.
eSIM – bu eUICC chipiga o‘rnatilgan dasturiy ta’minot sifatida qurilmaga bevosita o‘rnatilgan SIM-kartaning raqamli talqini. U bir nechta operatorlardan eSIMlarni yuklab olish, saqlash va ularga muammosiz o‘tish imkonini beradi.
Tadqiqotchilar hakerlikka duchor bo‘lgan maxsus iste’mol qurilmalarini tilga olmagan bo‘lsalar-da, ular eSIM chiplari zamonaviy smartfonlarning ko‘pchiligida o‘rnatilgan bo‘lib, ularning hammasi zaif bo‘lishi mumkinligi haqida ogohlantirdilar.
Kigen avvalroq ularning texnologiyasi dunyo bo‘ylab ikki milliarddan ortiq eSIMlarni saqlash uchun ishlatilishini aytgan edi. Kompaniya Android, ARM, Qualcomm va yetakchi telekom kompaniyalari kabi yirik ekotizimlarni hamkorlari qatorida sanab o‘tgan.
Tadqiqotchilar o‘zlarining dalili(PoC)ni Kigenning ECu10.13 eSIM mahsulotini buzish uchun sinovdan o‘tkazdilar.
Ular hujum faqat jismoniy kirish bilan cheklanmasligini, balki tarmoqqa kirish ehtimolini ham hisobga olish kerakligi bilan ogohlantirdilar.
“Hakerlik eSIM profili va Java ilovalari uchun hech qanday xavfsizlik/izolyatsiya yo‘qligini isbotlaydi (eUICC xotira tarkibi uchun xavfsizlik yo‘q),” deb yozilgan hisobotda.
“Muammolar havodan foydalanib ishlatilishi mumkin.”
Kigen muammoni tan oldi va tadqiqotchilarga 30,000 dollarlik xato topish mukofoti (bug bounty)ni berdi.
“GSMA TS.48 Umumiy Sinov Profili (v6.0 va undan oldingi talqinlar)da mavjud bo‘lgan zaiflik, sanoatdagi barcha eSIM mahsulotlarida radio muvofiqlik sinovlari uchun ishlatiladi, tasdiqlanmagan va ehtimoliy xavfli ilovalarni o‘rnatishga imkon beradi,” deb ma’lum qildi Kigen xavfsizlik hisobotida. U patch barcha Kigen mijozlariga tarqatilganini qayd etdi.
Biroq, muammoning jiddiyligi va uni bartaraf etish bo‘yicha ba’zi kelishmovchiliklar mavjud ko‘rinadi.
Muammolar patchlar qamrab olganidan chuqurroq bo'lishi mumkin
Tadqiqotchilar type confusion kamchiligi Java Card VMning o'ziga ta'sir qilishini tushuntirishdi - bu kichik ilovalar (appletlar) uchun Java Virtual Machinening yengil talqinidir. Asosiy muammo faqat Kigen kompaniyasining tuzatishida emas, balki Java Card VMning uzoq vaqtdan beri mavjud bo'lgan zaifliklarida yotadi, bu esa boshqa eSIM egalari ham "zaif bo'lishi" mumkinligini ko'rsatadi.
Jamoa Kigen kompaniyasiga "Java Card VM amalga oshirilishiga ta'sir qiluvchi ko'plab (100+) xavfsizlik zaifliklarini" va eksploit ssenariylarini yumshatishga yordam berishi mumkin bo'lgan boshqa g'oyalarni taqdim etdi.
Biroq, tadqiqotchilar Kigen kompaniyasi kamchiliklarni deyarli barcha ~180 ta JavaCard baytkod ko'rsatmalariga tezkor tekshiruvlar kiritish orqali bartaraf etganini, ammo chuqurroq asosiy muammoni hal qila olmaganini aniqladilar: "haqiqiy control-flow kuzatuvi yo'q."
"Kigen muammo bo'yicha tegishli ma'lumot/zamonaviy bilimga ega bo'lmasdan baytkod tekshiruvi shaklini amalga oshirishga urinayotgan har qanday kishining qurboni bo'ldi," - deb yozilgan hisobotda.
"Hech qanday JavaCard zaifligiga ishora yo'q."
Tadqiqotchilar jismoniy kirish va qurilmada zararli Java ilovasini o'rnatish uchun ishlatiladigan kalitlar haqidagi bilimlarga tayangan va agar kalitlar sizib ketgan bo'lsa, OTA SMS-PP (Short Message Service Point to Point) protokoli orqali masofaviy eksploit qilinishi mumkin deb taxmin qilgan.
Kigen kompaniyasining xabar berishiga ko'ra, zararli ilovalarni o'rnatish uchun tajovuzkor "avval maqsadli eUICC ga jismoniy kirish huquqiga ega bo'lishi va ommaga ma'lum kalitlardan foydalanishi kerak."
Bu bilvosita masofaviy hujum kengligini rad etadi.
GSMA standartlari eUICC lardan masofaviy boshqaruv/masofaviy dasturiy ta'minot yangilash funksiyalarini amalga oshirishni talab qiladi, tadqiqotchilar ta'kidlashicha, "bu o'z-o'zidan muhim tahdid yuzasini ochib beradi."
GSMA (GSM Association) va Oracle Java Card jamoasi asosiy muammolardan xabardor qilingan.
Bu hack qanchalik xavfli?
Tadqiqotchilar tajovuzkor Orange Poland eSIM profilini alohida eUICC chiplari bo'lgan boshqa qurilmaga qanday klonlashi va "begunoh" foydalanuvchilardan, shu jumladan bir martalik sms kodlaridan qo'ng'iroqlar va SMSlarni qanday o'g'irlashi mumkinligini ko'rsatdilar.
"Mobil tarmoq operatorlaridan (MNO) ochiq matnda ixtiyoriy profillarni yuklab olish mumkin," - deydi tadqiqotchilar.
"Biz Kigen eUICC sertifikatidan turli MNO lar (xususan, ATT, Vodafone, O2, Orange, Bouygues Telecom, DTAC, China Mobile, CMHK va T-Mobile) uchun shifrlangan eSIM profillarini yuklab olish uchun foydalandik."
GSMA sertifikatining o'g'irlanishi eSIMlarni himoya qiluvchi apparat qismini buzishning hojati yo'qligini anglatadi. Bu profillar operator sirlarini, masalan, abonent/tarmoq sozlamalari, maxfiy/OTA kalitlari, Java ilovalari va hokazolarni o'z ichiga oladi.
SIM kartalar shuningdek tarmoq operatorlarining OPc kaliti va "har qanday holatda" himoyalangan bo'lishi kerak bo'lgan muhim unsur - Authentication Management Field (AMF) ni o'z ichiga oladi.
Hakerlar eSIMlarni boshqa qurilmalarga qo'shishdan oldin ularni o'zgartirishi ham mumkin. Operatorlar bu buzilishni aniqlay olmaydi va profil ustidan nazoratni yo'qotishi mumkin, hamda "profil holatining butunlay noto'g'ri ko'rinishi" bilan baholanishi mumkin.
Tadqiqotchilar klonlangan eSIMlarni Samsung (Android) va Apple smartfonlariga yuklash mumkinligini amalda ko'rsatdilar.
Ular yirik ishlab chiqaruvchilarning mobil telefonlarida ishlatilgan eSIM chiplarini buzishga urinishmagan, ammo jamoa "barcha imkoniyatlarini" ham sinab ko'rmagan.
"Faqat o'sha arxitektura eSIMni davlat/kiberjinoyat guruhlari uchun mukammal hujum nishoni va backdoor joyi qiladi," - deb tadqiqotchilar xulosa qildilar.
