Falha no eSIM coloca dois mil milhões de dispositivos IoT em risco

17 Jul 2025 · Segurança Comentar

OS eSIM estão cada vez mais presentes, em especial no universo dos dispositivos conetados. Um problema surge agora, porque investigadores a descobriram uma falha crítica na tecnologia eSIM. Presente em mais de dois mil milhões de dispositivos IoT, esta vulnerabilidade permite a instalação de malware e o roubo de dados. A falha foi entretanto corrigida.

Investigadores de empresa de cibersegurança da Security Explorations descobriram uma vulnerabilidade de segurança preocupante no cartão eSIM incorporado desenvolvido pela Kigen. A empresa desenvolveu um eUICC (Embedded Universal Integrated Circuit Card), um cartão soldado à motherboard, encontrado em mais de dois mil milhões de dispositivos IoT em todo o mundo.

Permite que um dispositivo se ligue a uma rede móvel sem a necessidade de um cartão SIM. A falha está na especificação técnica GSMA TS.48 v6.0 publicada pela GSMA (GSM Association), organização que reúne as principais operadoras de telemóveis do mundo. Esta norma permite testar as capacidades de rádio dos dispositivos equipados com eSIM durante a fase de produção.

Infelizmente, os investigadores da AG Security Research notaram que esta funcionalidade de teste coloca os dispositivos em risco se deixada ativada. Ao explorar a vulnerabilidade, um hacker pode instalar um applet JavaCard, um pequeno programa escrito em Java, sem qualquer autorização. Normalmente, são necessárias uma autorização rigorosa e uma assinatura digital valida.

Para explorar a falha, basta que o perfil de teste esteja sempre ativo no eSIM. Para ter sucesso, o atacante necessita de ter acesso físico ao dispositivo vulnerável ou possuir chaves de teste públicas, disponíveis na Internet. A falha pode permitir implantar código malicioso no chip. Especificamente, a vulnerabilidade pode ser utilizada para intercetar ou manipular comunicações, extrair dados confidenciais ou injetar vírus no dispositivo.

O cartão eSIM Kigen encontra-se em mais de dois mil milhões de dispositivos IoT e sistemas embebidos em automóveis. As tecnologias Kigen são encontradas principalmente na indústria e não em dispositivos de consumo. Os eSIMs Kigen não são encontrados nos smartphones. Estas vulnerabilidades são potencialmente vulneráveis a ataques, incluindo ciberataques concebidos para recolher dados pessoais através de um router.

Alertada pelos especialistas da Security Explorations, a GMSA incluiu uma correção na versão GSMA TS.48 v7.0 da sua especificação. A Kigen implementou também a correção para todos os seus clientes. A nova versão da norma desativa o acesso ao perfil de teste, proíbe a instalação de software neste perfil e deve impedir qualquer instalação remota de aplicações.

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.