Wir schreiben Ihnen, um Sie über ein kürzlich identifiziertes Sicherheitsproblem im Zusammenhang mit Testprofilen (z.B. GSMA TS.48) und deren Verwendung innerhalb einer eSIM zu informieren. Dieses Problem hat eine unserer nachgelagerten Umgebungen betroffen und beinhaltet die Möglichkeit, nicht autorisierte Applets auf einer eSIM unter bestimmten und streng kontrollierten Bedingungen zu installieren.  

    Die Schwachstelle rührt von einer Unklarheit in der GSMA TS.48-Spezifikation her, die die Installation von Applets nach der Ausgabe und den Missbrauch von Remote Applet Management (RAM)-Funktionen ermöglichen kann. In diesem Fall war ein unabhängiger Sicherheitsforscher mit physischem Zugang zu acht unserer eSIM und Kenntnis der festgelegten Sicherheitsschlüssel in der Lage, diese Funktionen über einen Zeitraum von sieben Monaten auszunutzen, um dann andere Geheimnisse aus der eSIM zu erhalten. Es handelte sich um einen sehr ausgeklügelten, auf die Forschung ausgerichteten Angriff. 

    Da die Testprofile zweckspezifisch sind, z. B. für die Verbindung mit Gerätetestumgebungen, lassen sie keine Live-Verbindungen mit dem Mobilfunknetz zu. Nach unserem derzeitigen Kenntnisstand ist ein Fernangriff nicht möglich. 

    Wir möchten Ihnen versichern, dass wir bereits strenge Maßnahmen ergriffen haben:  

- Wir haben unsere Plattform aktualisiert, um die Verwendung von TS.48 für RAM zu blockieren. 

- Wir benachrichtigen die betroffenen Kunden und Partner. 

- Wir verteilen Sicherheits-Patches, wo immer ein Risiko besteht, egal wie gering es ist. 

- Wir werden eng mit dem Ökosystem zusammenarbeiten, um die Klarheit der TS.48-Normen für die gesamte Branche zu verbessern. 

    Zum jetzigen Zeitpunkt gibt es keine Anzeichen für eine umfassendere Kompromittierung. Die Situation war auf ein spezifisches Szenario beschränkt, das Insiderwissen und einen erweiterten Zugang zu unserer eSIM erfordert, der normalerweise auf vertrauenswürdige Akteure beschränkt ist. Als Vorsichtsmaßnahme informieren wir jedoch proaktiv unsere Kunden.