ثغرة eSIM بدرجة CVSS 9.1: استنساخ واعتراض وما تكشفه الإشارات
باحثون استنسخوا eSIM Orange دون تنبيه الضحية. اعتراض مكالمات، سرقة رسائل 2FA، تدمير الشريحة. تحليل تقني لثغرة eUICC ودور التشخيص الميداني.
أثبت باحثون من AG Security Research استنساخاً كاملاً لملف eSIM لشركة Orange بولندا. دون تنبيه الضحية. دون وصول فعلي للجهاز. درجة CVSS: 9.1 من 10. حرج.
الهجوم يتيح اعتراض المكالمات والرسائل القصيرة (بما في ذلك رموز 2FA)، ويمكن أن يصل إلى تدمير دائم لشريحة eUICC. موردون آخرون (Thales، NXP) قد يكونون متأثرين.
بنية eSIM
الـ eSIM ليست مجرد SIM افتراضية. إنها منصة آمنة (eUICC) قادرة على تخزين ملفات تعريف متعددة للمشغلين وتنشيط واحد عن بُعد.
البنية تعتمد على:
- eUICC: الشريحة المادية الملحومة في الجهاز
- SM-DP+: خادم المشغل الذي يُعد وينزل ملفات التعريف
- بروتوكولات OTA: آليات اتصال عن بُعد مع eUICC، غالباً عبر SMS
الهجوم: استنساخ صامت عبر OTA
متجه الهجوم
- إرسال SMS OTA مُصاغ خصيصاً إلى eUICC المستهدف
- استغلال ثغرة Java Card في معالجة الرسالة بواسطة شريحة Kigen
- استخراج ملف eSIM: بيانات المصادقة (Ki، OPc) مُسربة
- استنساخ الملف على eUICC آخر
- المهاجم يمكنه انتحال هوية الضحية على الشبكة
ما يمكن للمهاجم فعله
- اعتراض جميع المكالمات الموجهة للضحية
- استقبال رسائل SMS للضحية، بما في ذلك رموز المصادقة 2FA
- إجراء مكالمات وإرسال رسائل باسم الضحية
- الوصول إلى خدمات مرتبطة بالرقم (بنك متنقل، شبكات اجتماعية)
- تدمير شريحة eUICC للضحية (تعطيل دائم)
| مُصنّع eUICC | حصة سوقية تقديرية | الحالة |
|---|---|---|
| Kigen (ARM) | كبيرة | مؤكد ضعيف |
| Thales | الرائد عالمياً | تحقيق جارٍ |
| NXP | مهم | تحقيق جارٍ |
ما تكشفه إشارات الميدان
آثار OTA في Layer 3
رسائل OTA تنتقل عبر الشبكة المتنقلة كرسائل SMS خاصة (SMS-PP). وهي مرئية في طبقة إشارات NAS.
فك تشفير Layer 3 يمكنه كشف:
1. رسائل OTA SMS غير مطلوبة: خارج السياق الطبيعي للمشغل.
2. تسلسلات مصادقة غير طبيعية: إذا كان الملف مستنسخاً ونشطاً على جهاز آخر.
3. تغييرات TMSI متسارعة: قد تشير إلى محاولة إعادة مزامنة بعد الاستنساخ.
4. إعادة توجيه مشبوهة بين التقنيات: بعض الهجمات تفرض تخفيضاً إلى 2G.
توصيات
لفرق أمن المشغلين
- تدقيق شرائح eUICC في أسطول الأجهزة
- نشر تصفية OTA معززة على منصات SMS
- تنفيذ كشف التسجيل المزدوج في HSS/UDM
- إجراء حملات تدقيق ميدانية بفك تشفير Layer 3
للمهندسين الميدانيين
- إضافة مراقبة OTA لحملات drive test القياسية
- توثيق خطوط الأساس للإشارات لكل منطقة
- التنبيه على رسائل SMS OTA غير المطلوبة
للمستخدمين
- تفضيل المصادقة بالتطبيق (TOTP) بدلاً من SMS
- مراقبة انقطاعات الشبكة غير المبررة
- الاتصال بالمشغل عند سلوك مشبوه للجهاز
كان من المفترض أن تعزز eSIM الأمان بإلغاء بطاقة SIM المادية. ثغرة CVSS 9.1 تذكرنا أن الأمان يعتمد على التنفيذ، لا على شكل العامل. والتنفيذ يُتحقق منه في الميدان.
مؤسسة HiCellTek. أكثر من 15 عاماً في الاتصالات — جانب المشغل، جانب المصنع، جانب الميدان. تبني الأداة الميدانية التي يستحقها مهندسو RF.
اطلب عرضاً توضيحياً مخصصاً لـ HiCellTek — تشخيص شبكات 2G/3G/4G/5G على Android.