eSIM卡安全漏洞如何打补丁修复
安全缺陷核心在于 Oracle Java Card 虚拟机中的**"类型混淆"漏洞** 。Java Card 是 Oracle 专为资源受限设备打造的 Java 应用执行平台,广泛集成于 eSIM 芯片、银行卡、身份认证设备等领域。早在六年前,Gowdiak 就发现其在执行字节码时缺乏关键类型校验,可能导致权限绕过。但 Oracle 以"问题不适用"为由未予修复。近期,Gowdiak 利用该漏洞对 Kigen 生产的 eUICC(嵌入式通用集成电路卡)进行攻击测试:他通过物理方式提取设备私钥,随后下载运营商配置文件(profile),这些文件
竟以明文传输且包含关键密钥。借助 JavaCard 字节码验证缺失的缺陷,攻击者能安装任意恶意 applet,完全控制 eSIM,且过程无任何安全告警。我有采用 Kigen 芯片的eSIM卡,不知该eSIM卡安全漏洞如何修复?有知道的吗? "这个漏洞这么久了居然还没修 我的eSIM卡也是Kigen的 瑟瑟发抖" 相比传统 SIM 卡,eSIM 支持多个配置文件并存——用户可以同时保有主运营商与本地临时运营商的服务,出境漫游、切换资费变得更加灵活。然而,这种"共处一芯"的机制,也带来了新的攻击面。假如你在某国旅行时安装当地运营商的 eSIM 作为副配置,若该国政府与运营商合作,可能借此提取你主配置中的关键密钥,监听所有通信一旦某个恶意配置被植入,它可以突破芯片边界,影响上面存储的所有运营商配置安全。这意味着,攻击者无需攻破每一个运营商的网络,只需利用其中一个"合作"或"被攻陷"的节点,便可能达成系统级控制。 KANXV 发表于 2025-7-30 10:32
相比传统 SIM 卡,eSIM 支持多个配置文件并存——用户可以同时保有主运营商与本地临时运营商的服务,出境漫 ...
挺适合guo安的😂 @ kigen
页:
[1]