# eSIM / Java Card VM Exploitation

{{#include ../banners/hacktricks-training.md}}

## Genel Bakış
Gömülü SIM'ler (eSIM'ler), güvenli bir bileşenin üzerinde **Gömülü UICC (eUICC)** akıllı kartları olarak uygulanır ve **Java Card Sanal Makinesi (JC VM)** çalıştırır. Profiller ve appletler, Uzaktan SIM Sağlama (RSP) aracılığıyla *hava üzerinden* (OTA) sağlanabildiğinden, JC VM içindeki herhangi bir bellek güvenliği hatası, **cihazın en ayrıcalıklı bileşeni içinde** uzaktan kod yürütme ilkesine dönüşür.

Bu sayfa, `getfield` ve `putfield` bytecode'larındaki eksik tür güvenliği kontrollerinin neden olduğu Kigen’in eUICC'sinin (Infineon SLC37 ESA1M2, ARM SC300) gerçek dünyada tam bir ihlalini tanımlamaktadır. Aynı teknik, kart üzerindeki byte-code doğrulamasını atlayan diğer satıcılara karşı da yeniden kullanılabilir.

## Saldırı Yüzeyi
1. **Uzaktan Uygulama Yönetimi (RAM)**
eSIM profilleri, rastgele Java Card appletlerini içerebilir. Sağlama, SMS-PP (Kısa Mesaj Servisi Noktadan Noktaya) veya HTTPS üzerinden tünellenebilen standart APDU'lar ile gerçekleştirilir. Bir saldırgan, bir profil için **RAM anahtarlarını** ele geçirirse (veya çalarsa), uzaktan kötü niyetli bir applet `INSTALL`/`LOAD` edebilir.
2. **Java Card byte-code yürütmesi**
Kurulumdan sonra, applet VM içinde yürütülür. Eksik çalışma zamanı kontrolleri bellek bozulmasına izin verir.

## Tür Karışıklığı Primitifi
`getfield` / `putfield` yalnızca **nesne referansları** üzerinde çalışması beklenir. Kigen eUICC'de, talimatlar yığın üzerindeki operandın bir *nesne* veya bir *dizi* referansı olup olmadığını asla doğrulamaz. Bir `array.length` kelimesi, normal bir nesnenin ilk örnek alanıyla tam olarak aynı ofsette bulunduğundan, bir saldırgan:

1. Bir byte-dizisi oluşturur `byte[] buf = new byte[0x100];`
2. Bunu `Object o = (Object)buf;` olarak dönüştürür.
3. `putfield` kullanarak bitişik bir nesne içindeki *herhangi* 16-bit değeri üzerine yazar (VTABLE / ptr çeviri girişleri dahil).
4. İçsel işaretçiler ele geçirildiğinde *rastgele* belleği okumak için `getfield` kullanır.
```java
// Pseudo-bytecode sequence executed by the malicious applet
// buf = newarray byte 0x100
// o   = (Object) buf            // illegal but not verified
// putfield <victimObject+offset>, 0xCAFE // arbitrary write
// ... set up read-what-where gadgets ...
```
Primitive, eUICC adres alanında **keyfi okuma/yazma** sağlar - bu, kartı GSMA ekosistemine kimlik doğrulamak için kullanılan cihaz-a özgü ECC özel anahtarını dökmek için yeterlidir.

## Uçtan Uca Sömürü İş Akışı
1. **Firmware'i numaralandır** – Belgelendirilmemiş `GET DATA` öğesi `DF1F` kullan:
```
80 CA DF 1F 00   // → "ECu10.13" (açık)
```
2. **Kötü niyetli applet'i OTA yükle** – TS.48 Genel Test Profili'nin kamuya açık anahtarlarını kötüye kullan ve CAP dosyasını (`LOAD`) taşıyan SMS-PP parçalarını iterek `INSTALL` ile devam et:
```
// basitleştirilmiş APDU zinciri
80 E6 02 00 <data>   // LOAD (blok n)
80 E6 0C 00 <data>   // yükleme için INSTALL
```
3. **Tür karışıklığını tetikle** – Applet seçildiğinde, bir işaretçi tablosunu ele geçirmek için write-what-where işlemi gerçekleştirir ve normal APDU yanıtları aracılığıyla bellek sızdırır.
4. **GSMA sertifika anahtarını çıkar** – Özel EC anahtarı applet'in RAM'ine kopyalanır ve parçalar halinde geri döner.
5. **eUICC'yi taklit et** – Çalınan anahtar çifti + sertifikalar, saldırganın *herhangi* bir RSP sunucusuna meşru bir kart olarak kimlik doğrulamasını sağlar (bazı operatörler için EID bağlama hala gerekebilir).
6. **Profilleri indir ve değiştir** – Düz metin profilleri `OPc`, `AMF`, OTA anahtarları ve hatta ek appletler gibi son derece hassas alanlar içerir. Saldırgan:
* İkinci bir eUICC'ye bir profili klonlayabilir (ses/SMS ele geçirme);
* Yeniden yüklemeden önce Java Card uygulamalarını yamanlayabilir (örneğin, STK kötü amaçlı yazılımı eklemek);
* Büyük ölçekli kötüye kullanım için operatör sırlarını çıkarabilir.

## Klonlama / Ele Geçirme Gösterimi
**PHONE A** ve **PHONE B** üzerinde aynı profilin yüklenmesi, Mobil Anahtarlama Merkezi'nin gelen trafiği en son kaydedilen cihaza yönlendirmesiyle sonuçlanır. Bir oturumluk Gmail 2FA SMS müdahalesi, kurban için MFA'yı atlamak için yeterlidir.

## Otomatik Test & Sömürü Araç Kiti
Araştırmacılar, bir Java Card VM'nin savunmasız olup olmadığını hemen gösteren `bsc` (*Temel Güvenlik Kontrolü*) komutuna sahip bir iç araç yayınladı:
```
scard> bsc
- castcheck        [arbitrary int/obj casts]
- ptrgranularity   [pointer granularity/tr table presence]
- locvaraccess     [local variable access]
- stkframeaccess   [stack frame access]
- instfieldaccess  [instance field access]
- objarrconfusion  [object/array size field confusion]
```
Framework ile birlikte gönderilen modüller:
* `introspector` – tam VM ve bellek gezgini (~1.7 MB Java)
* `security-test` – genel doğrulama atlatma appleti (~150 KB)
* `exploit`       – %100 güvenilir Kigen eUICC ihlali (~72 KB)

## Önlemler
1. **Kart üzerindeki byte-code doğrulaması** – yalnızca yığın üstü yerine tam kontrol akışı ve veri akışı türü izleme zorunlu kılın.
2. **Dizi başlığını gizle** – `length` değerini örtüşen nesne alanlarının dışına yerleştir.
3. **RAM anahtarları politikası güçlendir** – asla kamu anahtarları ile profiller göndermeyin; test profillerinde `INSTALL`'ı devre dışı bırakın (GSMA TS.48 v7'de ele alınmıştır).
4. **RSP sunucu tarafı sezgileri** – EID başına profil indirmelerini sınırlayın, coğrafi anormallikleri izleyin, sertifika tazeliğini doğrulayın.

## Pentesterlar için Hızlı Kontrol Listesi
* `GET DATA DF1F` sorgusu – savunmasız firmware dizesi `ECu10.13` Kigen'i gösterir.
* RAM anahtarlarının biliniyorsa kontrol et ‑> OTA `INSTALL`/`LOAD` denemesi yap.
* Applet kurulumu sonrası, basit cast primitive'ini brute-force yap (`objarrconfusion`).
* Güvenlik Alanı özel anahtarlarını okumayı dene – başarı = tam ihlal.

## Referanslar
- [Security Explorations – eSIM güvenliği](https://security-explorations.com/esim-security.html)
- [GSMA TS.48 Genel Test Profili v7.0](https://www.gsma.com/get-involved/working-groups/gsma_resources/ts-48-v7-0-generic-euicc-test-profile-for-device-testing/)
- [Java Card VM Spesifikasyonu 3.1](https://docs.oracle.com/en/java/javacard/3.1/jc-vm-spec/F12650_05.pdf)

{{#include ../banners/hacktricks-training.md}}