نكتب إليكم لإبلاغكم بمشكلة أمنية تم تحديدها مؤخرًا تتعلق بملفات تعريف الاختبار (مثل GSMA TS.48) واستخدامها داخل وحدة eSIM. وقد أثرت هذه المشكلة على إحدى بيئاتنا النهائية وتتضمن القدرة على تثبيت تطبيقات صغيرة غير مصرح بها على بطاقة eSIM في ظل ظروف محددة ومراقبة للغاية.  

    تنبع هذه الثغرة الأمنية من غموض في مواصفات GSMA TS.48 التي قد تسمح بتثبيت التطبيق بعد الإصدار وإساءة استخدام وظائف إدارة التطبيقات عن بُعد (RAM). في هذه الحالة، تمكّن باحث أمني مستقل لديه إمكانية الوصول الفعلي إلى ثماني شرائح eSIM الخاصة بنا ومعرفة مفاتيح الأمان الثابتة من استغلال هذه الوظائف على مدار سبعة أشهر لاسترداد أسرار أخرى من شرائح eSIM. كان هذا هجومًا متطورًا للغاية يركز على الأبحاث. 

    نظرًا لأن ملفات تعريف الاختبار محددة الغرض، على سبيل المثال الاتصال ببيئات اختبار الأجهزة، فإنها لا تسمح بالاتصالات المباشرة بالشبكة الخلوية. في الوقت الحالي، نفهم أن الهجوم عن بُعد غير ممكن. 

    نود أن نطمئنك بأننا اتخذنا بالفعل تدابير قوية:  

- لقد قمنا بتحديث منصتنا لحظر استخدام TS.48 لذاكرة الوصول العشوائي (RAM). 

- نقوم بإخطار العملاء والشركاء المعنيين. 

- نحن نقوم بتوزيع تصحيحات الأمان حيثما وجدت أي مخاطر، مهما كانت صغيرة. 

- سنعمل عن كثب مع النظام البيئي لتحسين وضوح معايير TS.48 للصناعة الأوسع نطاقاً. 

    في الوقت الحالي، لا يوجد ما يشير إلى وجود اختراق أوسع نطاقاً، وقد تم احتواء هذا الموقف في سيناريو محدد يتطلب معرفة داخلية ووصولاً موسعاً إلى شريحتنا الإلكترونية eSIM التي عادةً ما تقتصر على الجهات الموثوقة. ومع ذلك، وكإجراء احترازي، نقوم بإبلاغ عملائنا بشكل استباقي.