eSIM：克隆、拦截和Java卡系统漏洞 Security Explorations的研究人员报告了Kigen的eSIM芯片中的一个关键漏洞，该漏洞允许在所有者不知情的情况下完全访问密钥、克隆eSIM配置文件以及拦截呼叫和消息。 这是历史上第一个公开记录的成功破解消费者eUICC芯片的案例，该芯片已通过EAL4+标准认证并获得GSMA批准。 问题在于Kigen芯片中使用的Java Card VM的架构。它允许在eSIM上安装和执行Java小程序，但不在字节码级别验证其安全性。 通过SMS-PP协议（服务SMS），攻击者可以向设备发送恶意小程序，并访问存储私有ECC密钥的内存。这使得： ⦁伪造GSMA证书（通用测试配置文件）， ⦁以纯文本形式上传移动运营商eSIM配置文件（AT&T、沃达丰、O2、Orange等）， ⦁将eSIM克隆到另一台设备。 攻击演示：克隆橙色配置文件。研究人员在Orange Poland的真实网络中演示了该攻击： 两部手机使用相同的eSIM配置文件， 第二部手机完全拦截了通话和短信， 原始所有者什么也没注意到——eSIM操作似乎没有变化。 Kigen芯片已通过EAL4+、GSMA SGP.22规范认证，并由英飞凌SecurCore SC300保护。然而，即使是这种“坚如磐石”的安全性也无法抵御Java Card中的逻辑漏洞。 超过20亿台设备可能存在漏洞，包括智能手机、物联网、汽车和工业系统。 该威胁影响到所有使用Java卡而没有严格代码验证的eSIM制造商。 攻击能力： 通信拦截， 破解双因素身份验证， 远程后门植入， 芯片的“砌砖”。 Kigen发布了补丁并更新了规范（GSMA TS.48 v7.0）， 新增的保护措施包括：禁止安装第三方小程序、RAM保护和密钥随机化。 该漏洞的CVSS评分为6.7。 GSMA向研究人员颁发了30000英镑的奖金，以表彰他们发现了这一问题。 这个案例不仅仅是one芯片中的bug，而是给整个行业敲响了警钟。如果Java Card架构仍然存在漏洞，任何eSIM芯片都可能成为网络攻击的切入点。即使有认证和封闭的规范也不能保证安全。