Một lỗ hổng nghiêm trọng đã được xác định trong các phiên bản GSMA TS.48 Generic Test Profile 6.0 và cũ hơn. Hồ sơ kiểm thử này đóng vai trò thiết yếu và được sử dụng rộng rãi trong ngành công nghiệp eSIM toàn cầu cho mục đích kiểm thử tuân thủ vô tuyến và phát triển sản phẩm.
Tổng quan về lỗ hổng GSMA TS.48
Lỗ hổng được phát hiện cho phép kẻ tấn công, với quyền truy cập vật lý trực tiếp vào eUICC (embedded Universal Integrated Circuit Card), khai thác các khóa đã biết công khai và cố định. Điều này tạo điều kiện thuận lợi cho việc cài đặt các JavaCard applets không được xác minh về tính hợp lệ hoặc có khả năng chứa mã độc hại lên thiết bị, bỏ qua các quy trình kiểm tra bảo mật thông thường.
Về cơ bản, việc này có thể cho phép các thực thể trái phép tải các ứng dụng độc hại, thường được gọi là “rogue applications”, trực tiếp lên eSIM. Hậu quả là làm suy yếu nghiêm trọng tính toàn vẹn và bảo mật của thẻ eSIM. Các nguy cơ tiềm tàng bao gồm khả năng sao chép hồ sơ eSIM (eSIM profile cloning) để tạo ra các bản sao trái phép, hoặc thực hiện các hình thức thao túng dữ liệu nhạy cảm khác mà không bị phát hiện hay kiểm soát.
Chi tiết kỹ thuật và cơ chế khai thác
Việc khai thác thành công lỗ hổng này yêu cầu một chuỗi các bước cụ thể và có điều kiện tiên quyết rõ ràng. Đầu tiên, kẻ tấn công cần có quyền truy cập vật lý trực tiếp vào thiết bị chứa eUICC. Tiếp theo, hồ sơ kiểm thử TS.48 phải được kích hoạt trên eUICC. Cuối cùng, kẻ tấn công sẽ sử dụng các khóa bị lộ và dễ đoán đã được mô tả để vượt qua hoặc bỏ qua hoàn toàn các quy trình xác minh bảo mật tiêu chuẩn vốn được thiết kế để bảo vệ khỏi việc tải ứng dụng trái phép và duy trì tính toàn vẹn của hệ thống.
Phân tích kỹ thuật chuyên sâu đã chỉ ra rằng lỗ hổng này bắt nguồn từ việc hồ sơ kiểm thử TS.48 bao gồm các khóa Remote Applet Management (RAM). Các khóa RAM này được sử dụng để quản lý và triển khai các applets từ xa trên eUICC. Vấn đề cốt lõi phát sinh khi các khóa RAM này không được ngẫu nhiên hóa hoặc được đặt thành các giá trị mặc định dễ đoán và công khai. Trong trường hợp đó, chúng trở nên cố định và dễ bị khai thác bởi kẻ tấn công có kiến thức về cấu trúc hệ thống và quy trình hoạt động của eSIM.
Kẻ tấn công có thể lợi dụng điểm yếu này để tiêm các applets chưa được xác minh bytecode vào môi trường JavaCard. Điều này cho phép chúng circumventing (lách qua) các cơ chế bảo mật của môi trường thời gian chạy JavaCard, vốn được thiết kế để kiểm tra và xác thực tính an toàn của mã trước khi thực thi.
Phạm vi ảnh hưởng và hậu quả
Mặc dù hồ sơ TS.48 được thiết kế và chỉ định rõ ràng cho các môi trường kiểm thử được kiểm soát và tuyệt đối không dành cho mục đích sử dụng trong môi trường sản xuất thực tế, nhưng sự hiện diện của nó trong các thiết bị đã triển khai ngoài hiện trường đã làm dấy lên báo động nghiêm trọng về các rủi ro an ninh trong thế giới thực.
Việc khai thác thành công lỗ hổng này có thể dẫn đến những hậu quả cực kỳ nghiêm trọng. Cụ thể, kẻ tấn công có thể đạt được quyền truy cập trái phép vào thông tin xác thực mạng di động của người dùng, thực hiện việc chặn và nghe lén liên lạc (interception of communications), hoặc thậm chí chiếm đoạt hoàn toàn eSIM. Điều này có thể được ví như việc sao chép thẻ SIM vật lý nhưng với tính ẩn danh và khó phát hiện cao hơn nhiều do tính chất nhúng và quản lý từ xa của eSIM.
Vấn đề này đặc biệt đáng lo ngại trong các kịch bản mà eUICC được tích hợp vào các thiết bị tiêu dùng phổ biến như điện thoại thông minh, thiết bị đeo tay thông minh (wearables) hoặc các mô-đun IoT (Internet of Things). Trong các trường hợp này, việc giả mạo vật lý có thể xảy ra trong các cuộc tấn công chuỗi cung ứng (supply chain attacks) có tổ chức hoặc các hoạt động gián điệp có chủ đích nhằm vào cá nhân hoặc tổ chức cụ thể.
Sự cố này ảnh hưởng đến tất cả các sản phẩm eSIM tuân thủ các thông số kỹ thuật GSMA trước phiên bản v7.0. Tuy nhiên, cần lưu ý rằng không phải tất cả các eUICC đều dễ bị tổn thương như nhau; nhiều thiết bị được thiết kế để không thể bị ép vào chế độ kiểm thử hoặc thiếu các khóa bị lộ và dễ khai thác này.
Bất chấp sự khác biệt về mức độ dễ bị tổn thương, tiềm năng lạm dụng lỗ hổng này đã thúc đẩy một cảnh báo rộng rãi trên toàn ngành. Cảnh báo này đặc biệt nhấn mạnh sự cần thiết phải tăng cường các biện pháp bảo mật mạnh mẽ và kiên cố hơn trong tất cả các triển khai eSIM, đặc biệt là trong các ứng dụng thương mại và tiêu dùng.
Biện pháp giảm thiểu và khuyến nghị
Để đối phó với mối đe dọa này, Kigen, một nhà cung cấp giải pháp eSIM hàng đầu trong ngành, đã nhanh chóng phát hành một bản vá bảo mật hệ điều hành (OS) quan trọng. Bản vá này được thiết kế để ngăn chặn hoàn toàn việc tải applet từ xa trái phép, ngay cả khi hồ sơ TS.48 dễ bị tổn thương vẫn hoạt động trên các thiết bị đã triển khai ngoài hiện trường.
Bản vá này không chỉ giải quyết vấn đề trực tiếp mà còn kết hợp các biện pháp tăng cường bảo mật thời gian chạy JavaCard bổ sung. Điều này đảm bảo rằng việc cài đặt applet bị chặn một cách hiệu quả trong các hồ sơ kiểm thử, chủ yếu do việc thiếu các phương pháp xác minh bytecode đáng tin cậy trong môi trường đó.
Bản cập nhật được phân phối tới tất cả khách hàng thông qua cơ chế Over-the-Air (OTA) Remote File Management tiêu chuẩn và an toàn. Việc này tạo thành một phần của chiến lược giảm thiểu hai lớp toàn diện mà Kigen đã triển khai.
Bổ sung cho chiến lược này, Kigen đã chủ động giới thiệu các hồ sơ kiểm thử an toàn hơn. Các hồ sơ mới này loại trừ các khóa RAM theo mặc định, chỉ kết hợp các khóa đã được ngẫu nhiên hóa và bảo mật khi có yêu cầu rõ ràng và có kiểm soát. Những cải tiến này không chỉ giải quyết lỗ hổng tức thời một cách triệt để mà còn củng cố mô hình bảo mật nền tảng của eSIM, ngăn chặn việc tải ứng dụng độc hại ở cả cấp độ hồ sơ và cấp độ hệ điều hành.
Đóng góp của Kigen còn mở rộng đến thông số kỹ thuật GSMA TS.48 v7.0 đã được cập nhật. Phiên bản mới này hiện giới hạn việc sử dụng hồ sơ kiểm thử cho các biến thể an toàn hơn không có khả năng tải từ xa, hoặc những biến thể có bộ khóa ngẫu nhiên hóa và bí mật dành riêng cho các môi trường được kiểm soát chặt chẽ. Công ty cũng đã tác động đến Ghi chú Ứng dụng GSMA về việc sử dụng eSIM an toàn, nhằm thúc đẩy nhận thức rộng rãi hơn về các rủi ro tiềm ẩn và các thực tiễn tốt nhất trong việc triển khai và quản lý eSIM.
Các tài liệu quan trọng này đã được công khai từ ngày 9 tháng 7 năm 2025, minh chứng cho nỗ lực hợp tác mạnh mẽ và toàn diện nhằm giảm thiểu các mối đe dọa như vậy trên toàn ngành công nghiệp eSIM.
Trong bối cảnh việc áp dụng eSIM đang tăng vọt, đặc biệt là trong kỷ nguyên 5G và các công nghệ tương lai, Kigen có kế hoạch tiếp tục cải tiến liên tục các sản phẩm và giải pháp của mình. Các kế hoạch này sẽ luôn phù hợp với các sáng kiến của GSMA nhằm không ngừng phát triển và nâng cao bảo mật sản phẩm eSIM.
Người dùng và nhà sản xuất được khuyến nghị mạnh mẽ áp dụng các bản vá bảo mật ngay lập tức và tránh sử dụng hồ sơ kiểm thử trong môi trường sản xuất. Việc tuân thủ khuyến nghị này là cần thiết để đảm bảo bảo vệ mạnh mẽ và liên tục chống lại bối cảnh mối đe dọa đang phát triển này.
Lập trường chủ động và các biện pháp giảm thiểu kịp thời này làm nổi bật khả năng phục hồi và tính an toàn tiềm tàng của công nghệ eSIM khi được củng cố bằng các biện pháp bảo mật hiện đại và phản ứng nhanh chóng.
