Lỗ hổng nghiêm trọng trong eSIM Kigen đe dọa hàng tỷ thiết bị

Lỗi bảo mật trên nền tảng eUICC của Kigen có thể bị khai thác để cài mã độc, đánh cắp tin nhắn và điều khiển thiết bị từ xa – người dùng và doanh nghiệp cần cập nhật ngay.

Một lỗ hổng nguy hiểm trong tiêu chuẩn quản lý eSIM (GSMA TS.48 v6.0 trở về trước) đã bị phát hiện trên nền tảng eUICC do Kigen phát triển – hiện đang được tích hợp trong hơn 2 tỷ thiết bị di động, đồng hồ thông minh, thiết bị IoT trên toàn thế giới.

Kẻ tấn công nếu có quyền truy cập vật lý vào thiết bị có thể sử dụng test profile mặc định để cài applet độc hại vào chip eSIM. Applet này hoạt động âm thầm và cho phép:

• Đọc tin nhắn, OTP, thông tin tài khoản.

• Giả mạo nhà mạng, chuyển đổi eSIM trái phép.

• Theo dõi vị trí và thao tác trên thiết bị.

• Ghi lại dữ liệu người dùng và gửi về máy chủ điều khiển.

Điểm đặc biệt nguy hiểm là quá trình cài mã độc không yêu cầu xác thực hoặc kiểm tra bảo mật nào từ phía thiết bị, khiến quá trình cấy mã trở nên đơn giản nếu hacker tiếp cận được thiết bị vật lý.

Giải pháp bảo vệ eSIM và thiết bị

1. Cập nhật tiêu chuẩn GSMA TS.48 v7.0 hoặc cao hơn
   Phiên bản mới đã loại bỏ cơ chế cài applet qua test profile, tăng cường xác thực và mã hóa.

2. Ngăn truy cập vật lý vào thiết bị eSIM
   Đảm bảo thiết bị không dễ bị tháo rời hoặc truy cập bởi người lạ – đặc biệt với các thiết bị IoT ngoài trời, đồng hồ, thiết bị y tế.

3. Theo dõi thay đổi profile eSIM
   Tổ chức và người dùng nên kiểm tra định kỳ cấu hình eSIM, cảnh báo khi có profile lạ được cài đặt.

4. Yêu cầu nhà sản xuất cập nhật firmware
   Nếu đang sử dụng thiết bị IoT hoặc đồng hồ thông minh từ các hãng OEM, hãy kiểm tra và yêu cầu bản vá bảo mật từ nhà cung cấp.

5. Triển khai giám sát mạng di động ở cấp nhà mạng
   Nhà mạng có thể phát hiện bất thường như trùng lặp profile, truy cập bất thường từ eSIM để cảnh báo người dùng.

Lỗ hổng từ nền tảng eUICC Kigen là một lời nhắc quan trọng rằng thiết bị phần cứng, kể cả những thành phần tưởng như đã an toàn như eSIM, vẫn có thể trở thành điểm yếu. Cần cập nhật tiêu chuẩn, tăng cường kiểm soát truy cập vật lý và giám sát chủ động để bảo vệ thông tin người dùng trong kỷ nguyên kết nối di động và IoT.

Hương - Theo TheHackerNews