Security Exploration, một phòng nghiên cứu bảo mật có trụ sở tại Ba Lan, cho biết họ đã xâm nhập thành công vào việc triển khai thẻ mạch tích hợp đa năng nhúng (eUICC) do Kigen phát triển.

Vụ hack này cho phép kẻ tấn công trích xuất chứng chỉ và tải xuống hồ sơ eSIM đã giải mã cùng các dữ liệu nhạy cảm khác, ảnh hưởng đến người dùng của các nhà mạng lớn như AT&T, Vodafone, T‑Mobile hoặc China Mobile.

Báo cáo xác nhận rằng, kẻ tấn công có thể lợi dụng lỗ hổng này để sao chép và giả mạo eSIM. Các sản phẩm eSIM của Kigen được sử dụng trên nhiều ứng dụng IoT, từ IoT công nghiệp đến thiết bị tiêu dùng.

eSIM là phiên bản kỹ thuật số của thẻ SIM được nhúng trực tiếp vào thiết bị dưới dạng phần mềm được cài đặt trên chip eUICC. Nó cho phép tải xuống, lưu trữ và chuyển đổi liền mạch giữa các eSIM từ nhiều nhà mạng.

Mặc dù các nhà nghiên cứu không đề cập cụ thể đến các thiết bị tiêu dùng dễ bị tấn công, nhưng họ cảnh báo rằng chip eSIM được nhúng trong hầu hết các điện thoại thông minh hiện đại và tất cả đều có thể bị ảnh hưởng.

Kigen trước đây đã tuyên bố rằng, công nghệ của họ được sử dụng để lưu trữ hơn hai tỷ eSIM trên toàn thế giới. Công ty liệt kê các hệ sinh thái lớn, chẳng hạn như Android, ARM, Qualcomm và các công ty viễn thông hàng đầu, trong số các đối tác của mình.

Các nhà nghiên cứu đã thử nghiệm mã bằng chứng khái niệm của họ để tấn công sản phẩm eSIM ECu10.13 của Kigen.

Các chuyên gia cảnh báo rằng, cuộc tấn công không chỉ giới hạn ở quyền truy cập vật lý, mà còn có thể truy cập mạng. "Vụ tấn công chứng minh không có bảo mật/cô lập nào cho cấu hình eSIM và các ứng dụng Java (không có bảo mật cho nội dung bộ nhớ eUICC)", báo cáo viết.

Các vấn đề đều có thể bị khai thác qua mạng. Kigen đã thừa nhận vấn đề này và trao cho các nhà nghiên cứu khoản tiền thưởng 30.000 đô la.

"Một lỗ hổng trong Hồ sơ Kiểm tra Chung TS.48 của mạng GSMA (phiên bản 6.0 trở về trước), được sử tích hợp trong tất cả các sản phẩm eSIM trên toàn ngành để kiểm tra khả năng tuân thủ vô tuyến, cho phép cài đặt các ứng dụng đặc biệt của ngôn ngữ lập trình Java (applet) chưa được xác minh và có khả năng gây hại", Kigen cho biết trong bản tin bảo mật. Đồng thời, cũng lưu ý rằng bản vá đã được phân phối cho tất cả khách hàng của Kigen.

Tuy nhiên, dường như vẫn còn một số bất đồng về mức độ nghiêm trọng của sự cố và cách khắc phục. Vấn đề có thể nghiêm trọng hơn những gì các bản vá đề cập. Các nhà nghiên cứu giải thích rằng, một lỗ hổng ảnh hưởng đến chính Java Card VM, một phiên bản nhẹ của Máy ảo Java dành cho các ứng dụng nhỏ (applet). Vấn đề cốt lõi nằm ở các lỗ hổng bảo mật lâu đời của Java Card VM, không chỉ trong việc triển khai Kigen, điều này cho thấy các triển khai eSIM khác cũng có thể bị ảnh hưởng.

Nhóm nghiên cứu đã cung cấp cho Kigen "nhiều (hơn 100) lỗ hổng bảo mật ảnh hưởng đến việc triển khai Java Card VM" và các ý tưởng khác có thể giúp giảm thiểu các kịch bản khai thác. cCc nhà nghiên cứu phát hiện ra rằng Kigen đã giảm thiểu các lỗ hổng bằng cách áp dụng các biện pháp kiểm tra nhanh cho gần như tất cả khoảng 180 lệnh mã bytecode JavaCard, nhưng lại không giải quyết được vấn đề cơ bản sâu xa hơn, đó là "không có khả năng theo dõi luồng điều khiển thực sự".

"Kigen là nạn nhân của bất kỳ ai cố gắng triển khai một hình thức xác minh mã bytecode nào mà không có kiến thức nền tảng/kiến thức hiện đại về chủ đề này", báo cáo viết. "Không có bất kỳ tài liệu tham khảo nào về bất kỳ lỗ hổng JavaCard nào".

Các nhà nghiên cứu đã dựa vào quyền truy cập vật lý và kiến thức về các khóa được sử dụng để cài đặt ứng dụng Java độc hại trên thiết bị, và cho rằng việc khai thác từ xa là khả thi thông qua giao thức OTA SMS-PP (Điểm-Điểm dịch vụ tin nhắn ngắn) nếu các khóa bị rò rỉ.

Khuyến cáo của Kigen tuyên bố rằng kẻ tấn công, để cài đặt các applet độc hại, "trước tiên phải có quyền truy cập vật lý vào eUICC mục tiêu và sử dụng các khóa công khai đã biết". Điều này gián tiếp phủ nhận vectơ tấn công từ xa.

Các tiêu chuẩn mạng GSMA yêu cầu eUICC phải triển khai các chức năng quản lý từ xa/cập nhật phần mềm từ xa, "riêng những chức năng này đã tạo nên một bề mặt đe dọa đáng kể", các nhà nghiên cứu lập luận.

GSMA (Hiệp hội GSM) và nhóm Oracle Java Card đã được thông báo về các vấn đề tiềm ẩn.

Vụ tấn công này nguy hiểm đến mức nào?

Các nhà nghiên cứu đã chứng minh cách kẻ tấn công có thể sao chép hồ sơ eSIM của Orange Poland sang một thiết bị khác có chip eUICC riêng biệt và chiếm quyền điều khiển cuộc gọi, cũng như tin nhắn SMS từ người dùng hợp pháp, bao gồm cả mã OTP.

Các nhà nghiên cứu cho biết: "Người ta có thể tải xuống các hồ sơ tùy ý từ các nhà mạng di động (MNO) dưới dạng văn bản thuần túy".

"Chúng tôi đã sử dụng chứng chỉ eUICC Kigen để tải xuống các hồ sơ eSIM đã giải mã cho nhiều nhà mạng di động khác nhau (đặc biệt là ATT, Vodafone, O2, Orange, Bouygues Telecom, DTAC, China Mobile, CMHK và T-Mobile)."

Việc đánh cắp chứng chỉ GSMA đồng nghĩa với việc không cần phải hack phần cứng bảo vệ eSIM. Các hồ sơ này chứa thông tin bí mật của nhà mạng, chẳng hạn như cấu hình thuê bao/và mạng, khóa bí mật/OTA, ứng dụng Java...

Thẻ SIM cũng chứa khóa OPc của nhà mạng và các bí mật quan trọng của Trường quản lý xác thực (AMF) cần được bảo vệ "bằng mọi giá".

Tin tặc cũng có thể sửa đổi eSIM trước khi thêm chúng vào các thiết bị khác. Các nhà mạng sẽ không thể phát hiện ra hành vi giả mạo và có thể mất quyền kiểm soát hồ sơ, đồng thời được cung cấp "một cái nhìn hoàn toàn sai lệch về trạng thái hồ sơ".

Các nhà nghiên cứu đã trình diễn cách tải các eSIM trùng lặp lên cả điện thoại thông minh Samsung (Android) và Apple. Họ chưa thử hack chip eSIM được sử dụng trong điện thoại di động của các nhà cung cấp lớn, nhưng nhóm nghiên cứu cũng chưa "thử tất cả các ý tưởng".

Các nhà nghiên cứu kết luận: "Chỉ riêng kiến trúc đó đã khiến eSIM trở thành mục tiêu tấn công hoàn hảo và là cửa hậu cho các quốc gia/nhóm tội phạm mạng".

Hà Linh