Een ernstig beveiligingslek in de technologie achter eSIM-kaarten brengt de privacy en veiligheid van miljarden telefoongebruikers wereldwijd in gevaar. Volgens recent onderzoek van beveiligingsexpert Adam Gowdiak, oprichter van Security Explorations, zijn miljarden apparaten kwetsbaar voor spionage, SIM-swaps en het overnemen van mobiele netwerken.
De zogeheten eSIM, de digitale opvolger van de traditionele, fysieke SIM-kaart, is alomtegenwoordig geworden. Gebruikers kunnen meerdere providers instellen op één toestel, en de kaart is fysiek niet meer te verwijderen. Dat zou veiliger zijn. Maar het tegendeel lijkt waar: de onderliggende software bevat een ernstig lek dat het voor aanvallers mogelijk maakt om ongemerkt toegang te krijgen tot gevoelige gegevens.
Beveiligingslek
Gowdiak richtte zich in zijn onderzoek op de Kigen eUICC, een veelgebruikte chip die in zo’n twee miljard apparaten is verwerkt. De kwetsbaarheid zit diep in de structuur van de Java Card, de virtuele machine waarop eSIM-apps draaien. Al in 2018 meldde Gowdiak een probleem met ‘type confusion’, veroorzaakt door ontbrekende controles in de software. Oracle, de ontwikkelaar van Java Card, vond het destijds geen probleem en liet het liggen.
eSIM-profielen
Zes jaar later bewijst Gowdiak dat dit lek wél degelijk ernstige gevolgen kan hebben. Door fysiek toegang te krijgen tot een Kigen-chip, wist hij de cryptografische sleutel van de eSIM te stelen. Daarmee kon hij zonder waarschuwing kwaadaardige software over-the-air (OTA) installeren op de chip, en zelfs meerdere eSIM-profielen manipuleren. Dit opent de deur naar het afluisteren van communicatie, stelen van twee-factorcodes (2FA), en het overnemen van mobiele accounts.
Hoewel Kigen inmiddels een beveiligingspatch heeft uitgerold voor ‘miljoenen apparaten’, blijft het onzeker hoeveel eSIM’s wereldwijd nog kwetsbaar zijn. De Java Card-technologie wordt immers ook gebruikt door andere fabrikanten.
Grootschalige spionage
Gowdiak waarschuwt dat de kans klein is dat gewone criminelen dit niveau van hacken kunnen bereiken. Maar voor overheden of geavanceerde statelijke actoren ligt hier een unieke kans op grootschalige spionage. Denk aan scenario’s waarin een buitenlandse eSIM-profiel de sleutels van andere profielen op dezelfde chip onderschept, met alle risico’s van dien.
Oracle is om een reactie gevraagd, maar heeft vooralsnog niets laten weten. De beveiligingsscore van het lek werd vastgesteld op 6.7 op de CVSS-schaal: middelgroot, maar met potentieel verwoestende impact.
Deze ontdekking toont opnieuw aan dat digitale infrastructuur, hoe modern ook, kwetsbaar blijft. Wat als veiliger werd verkocht, blijkt nu een nieuw front in de strijd om data en digitale controle.