新型eSIM攻击技术可克隆用户资料并劫持手机身份
eSIM技术存在重大安全漏洞
研究人员发现eSIM技术中存在一个关键漏洞,攻击者可利用该漏洞克隆移动用户资料并劫持手机身份。AG安全研究团队宣布,他们成功攻破了采用GSMA消费者证书的Kigen eUICC(嵌入式通用集成电路卡)安全防护,这被认为是首次公开披露针对消费者GSMA eUICC和EAL认证GSMA安全芯片的成功攻击。
研究团队从被入侵的eUICC卡中提取了私有ECC(椭圆曲线加密)密钥,并展示了以明文格式从AT&T、沃达丰、O2、Orange和T-Mobile等主要移动运营商下载eSIM资料的能力。
**核心发现**
1. 研究人员成功入侵Kigen eUICC卡,提取私钥并以未加密格式下载主要运营商的eSIM资料
2. 实际测试展示了完整的手机身份劫持过程,攻击者可拦截所有通话、短信和双因素认证码而不被发现
3. 该漏洞影响超过20亿张SIM卡,一个被入侵的证书即可访问全球任何移动运营商的eSIM资料
4. Kigen已为数百万eSIM部署安全补丁,同时GSMA关闭了测试资料并更新了行业安全规范
Java Card漏洞导致远程克隆
攻击利用了Java Card虚拟机实现中的根本性缺陷,特别是针对类型混淆漏洞,这与2019年报告的问题类似。研究人员开发了一个概念验证程序,模拟通过OTA SMS-PP(点对点短消息服务)协议安装恶意小程序。
该漏洞使攻击者能够绕过多种安全机制,包括EAL4/5认证、旁路攻击防护措施和Java Card运行时安全功能。攻击向量要求攻击者要么物理接触目标卡并知晓安装密钥,要么通过OTA通道进行远程利用。
实际攻击演示
最令人担忧的演示是研究人员于2025年7月在Orange波兰网络上成功进行的eSIM克隆测试。他们在两张不同的物理eUICC卡上安装了相同的Orange eSIM资料,并展示了完整的用户身份劫持过程。当恶意设备激活后,立即开始接收所有原本发送给合法用户的通话和短信。
这种克隆能力对双因素认证系统构成严重威胁,因为攻击者可拦截用于Gmail和电子银行平台等服务的短信验证码。研究人员确认,合法用户无法察觉劫持行为,因为用户端不会显示任何可见痕迹。
安全响应措施
Kigen已采取应对措施,对约180条JavaCard字节码指令实施类型安全检查,并与GSMA合作更新TS.48通用测试规范。该公司已向数百万eSIM分发补丁,并发布详细说明缓解策略的安全公告。GSMA也发布了新的应用说明,并关闭了所有测试资料以防止未经授权的Java Card应用程序安装。