新型eSIM攻击技术可克隆用户资料并劫持手机身份
💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
研究人员发现eSIM技术存在严重安全漏洞,攻击者可克隆用户资料并劫持手机身份,影响超过20亿张SIM卡。Kigen eUICC卡被攻破,私钥被提取,攻击者能够拦截通话和短信。Kigen已发布安全补丁,GSMA也更新了安全规范以应对该漏洞。
🎯
关键要点
- 研究人员发现eSIM技术存在严重安全漏洞,攻击者可克隆用户资料并劫持手机身份。
- Kigen eUICC卡被攻破,私钥被提取,攻击者能够拦截通话和短信。
- 该漏洞影响超过20亿张SIM卡,一个被入侵的证书可访问全球任何移动运营商的eSIM资料。
- Kigen已发布安全补丁,GSMA更新了安全规范以应对该漏洞。
- 攻击利用了Java Card虚拟机中的根本性缺陷,特别是类型混淆漏洞。
- 研究人员成功演示了eSIM克隆测试,攻击者可拦截双因素认证短信验证码。
- Kigen与GSMA合作更新测试规范,并对JavaCard字节码指令实施类型安全检查。
❓
延伸问答
eSIM技术的安全漏洞是什么?
eSIM技术存在一个关键漏洞,攻击者可以克隆用户资料并劫持手机身份。
Kigen eUICC卡是如何被攻破的?
研究人员从被入侵的Kigen eUICC卡中提取了私钥,并成功下载了主要运营商的eSIM资料。
这个漏洞影响了多少张SIM卡?
该漏洞影响超过20亿张SIM卡。
攻击者如何利用这个漏洞进行身份劫持?
攻击者可以拦截所有通话、短信和双因素认证码,而不被合法用户察觉。
Kigen和GSMA采取了哪些安全响应措施?
Kigen发布了安全补丁,并与GSMA合作更新了行业安全规范,关闭了测试资料以防止未经授权的应用程序安装。
Java Card漏洞是如何导致eSIM克隆的?
攻击利用了Java Card虚拟机中的类型混淆漏洞,允许攻击者绕过多种安全机制。
➡️
