maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/generic-hacking/esim-javacard-exploitation.md

88 lines
6.6 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# eSIM / Java Card VM Exploitation
{{#include ../banners/hacktricks-training.md}}
## Genel Bakış
Gömülü SIM'ler (eSIM'ler), güvenli bir bileşenin üzerinde **Gömülü UICC (eUICC)** akıllı kartları olarak uygulanır ve **Java Card Sanal Makinesi (JC VM)** çalıştırır. Profiller ve appletler, Uzaktan SIM Sağlama (RSP) aracılığıyla *hava üzerinden* (OTA) sağlanabildiğinden, JC VM içindeki herhangi bir bellek güvenliği hatası, **cihazın en ayrıcalıklı bileşeni içinde** uzaktan kod yürütme ilkesine dönüşür.
Bu sayfa, `getfield` ve `putfield` bytecode'larındaki eksik tür güvenliği kontrollerinin neden olduğu Kigenin eUICC'sinin (Infineon SLC37 ESA1M2, ARM SC300) gerçek dünyada tam bir ihlalini tanımlamaktadır. Aynı teknik, kart üzerindeki byte-code doğrulamasını atlayan diğer satıcılara karşı da yeniden kullanılabilir.
## Saldırı Yüzeyi
1. **Uzaktan Uygulama Yönetimi (RAM)**
eSIM profilleri, rastgele Java Card appletlerini içerebilir. Sağlama, SMS-PP (Kısa Mesaj Servisi Noktadan Noktaya) veya HTTPS üzerinden tünellenebilen standart APDU'lar ile gerçekleştirilir. Bir saldırgan, bir profil için **RAM anahtarlarını** ele geçirirse (veya çalarsa), uzaktan kötü niyetli bir applet `INSTALL`/`LOAD` edebilir.
2. **Java Card byte-code yürütmesi**
Kurulumdan sonra, applet VM içinde yürütülür. Eksik çalışma zamanı kontrolleri bellek bozulmasına izin verir.
## Tür Karışıklığı Primitifi
`getfield` / `putfield` yalnızca **nesne referansları** üzerinde çalışması beklenir. Kigen eUICC'de, talimatlar yığın üzerindeki operandın bir *nesne* veya bir *dizi* referansı olup olmadığını asla doğrulamaz. Bir `array.length` kelimesi, normal bir nesnenin ilk örnek alanıyla tam olarak aynı ofsette bulunduğundan, bir saldırgan:
1. Bir byte-dizisi oluşturur `byte[] buf = new byte[0x100];`
2. Bunu `Object o = (Object)buf;` olarak dönüştürür.
3. `putfield` kullanarak bitişik bir nesne içindeki *herhangi* 16-bit değeri üzerine yazar (VTABLE / ptr çeviri girişleri dahil).
4. İçsel işaretçiler ele geçirildiğinde *rastgele* belleği okumak için `getfield` kullanır.
```java
// Pseudo-bytecode sequence executed by the malicious applet
// buf = newarray byte 0x100
// o = (Object) buf // illegal but not verified
// putfield <victimObject+offset>, 0xCAFE // arbitrary write
// ... set up read-what-where gadgets ...
```
Primitive, eUICC adres alanında **keyfi okuma/yazma** sağlar - bu, kartı GSMA ekosistemine kimlik doğrulamak için kullanılan cihaz-a özgü ECC özel anahtarını dökmek için yeterlidir.
## Uçtan Uca Sömürü İş Akışı
1. **Firmware'i numaralandır** Belgelendirilmemiş `GET DATA` öğesi `DF1F` kullan:
```
80 CA DF 1F 00 // → "ECu10.13" (açık)
```
2. **Kötü niyetli applet'i OTA yükle** TS.48 Genel Test Profili'nin kamuya açık anahtarlarını kötüye kullan ve CAP dosyasını (`LOAD`) taşıyan SMS-PP parçalarını iterek `INSTALL` ile devam et:
```
// basitleştirilmiş APDU zinciri
80 E6 02 00 <data> // LOAD (blok n)
80 E6 0C 00 <data> // yükleme için INSTALL
```
3. **Tür karışıklığını tetikle** Applet seçildiğinde, bir işaretçi tablosunu ele geçirmek için write-what-where işlemi gerçekleştirir ve normal APDU yanıtları aracılığıyla bellek sızdırır.
4. **GSMA sertifika anahtarını çıkar** Özel EC anahtarı applet'in RAM'ine kopyalanır ve parçalar halinde geri döner.
5. **eUICC'yi taklit et** Çalınan anahtar çifti + sertifikalar, saldırganın *herhangi* bir RSP sunucusuna meşru bir kart olarak kimlik doğrulamasını sağlar (bazı operatörler için EID bağlama hala gerekebilir).
6. **Profilleri indir ve değiştir** Düz metin profilleri `OPc`, `AMF`, OTA anahtarları ve hatta ek appletler gibi son derece hassas alanlar içerir. Saldırgan:
* İkinci bir eUICC'ye bir profili klonlayabilir (ses/SMS ele geçirme);
* Yeniden yüklemeden önce Java Card uygulamalarını yamanlayabilir (örneğin, STK kötü amaçlı yazılımı eklemek);
* Büyük ölçekli kötüye kullanım için operatör sırlarını çıkarabilir.
## Klonlama / Ele Geçirme Gösterimi
**PHONE A** ve **PHONE B** üzerinde aynı profilin yüklenmesi, Mobil Anahtarlama Merkezi'nin gelen trafiği en son kaydedilen cihaza yönlendirmesiyle sonuçlanır. Bir oturumluk Gmail 2FA SMS müdahalesi, kurban için MFA'yı atlamak için yeterlidir.
## Otomatik Test & Sömürü Araç Kiti
Araştırmacılar, bir Java Card VM'nin savunmasız olup olmadığını hemen gösteren `bsc` (*Temel Güvenlik Kontrolü*) komutuna sahip bir iç araç yayınladı:
```
scard> bsc
- castcheck [arbitrary int/obj casts]
- ptrgranularity [pointer granularity/tr table presence]
- locvaraccess [local variable access]
- stkframeaccess [stack frame access]
- instfieldaccess [instance field access]
- objarrconfusion [object/array size field confusion]
```
Framework ile birlikte gönderilen modüller:
* `introspector` tam VM ve bellek gezgini (~1.7 MB Java)
* `security-test` genel doğrulama atlatma appleti (~150 KB)
* `exploit` %100 güvenilir Kigen eUICC ihlali (~72 KB)
## Önlemler
1. **Kart üzerindeki byte-code doğrulaması** yalnızca yığın üstü yerine tam kontrol akışı ve veri akışı türü izleme zorunlu kılın.
2. **Dizi başlığını gizle** `length` değerini örtüşen nesne alanlarının dışına yerleştir.
3. **RAM anahtarları politikası güçlendir** asla kamu anahtarları ile profiller göndermeyin; test profillerinde `INSTALL`'ı devre dışı bırakın (GSMA TS.48 v7'de ele alınmıştır).
4. **RSP sunucu tarafı sezgileri** EID başına profil indirmelerini sınırlayın, coğrafi anormallikleri izleyin, sertifika tazeliğini doğrulayın.
## Pentesterlar için Hızlı Kontrol Listesi
* `GET DATA DF1F` sorgusu savunmasız firmware dizesi `ECu10.13` Kigen'i gösterir.
* RAM anahtarlarının biliniyorsa kontrol et > OTA `INSTALL`/`LOAD` denemesi yap.
* Applet kurulumu sonrası, basit cast primitive'ini brute-force yap (`objarrconfusion`).
* Güvenlik Alanı özel anahtarlarını okumayı dene başarı = tam ihlal.
## Referanslar
- [Security Explorations eSIM güvenliği](https://security-explorations.com/esim-security.html)
- [GSMA TS.48 Genel Test Profili v7.0](https://www.gsma.com/get-involved/working-groups/gsma_resources/ts-48-v7-0-generic-euicc-test-profile-for-device-testing/)
- [Java Card VM Spesifikasyonu 3.1](https://docs.oracle.com/en/java/javacard/3.1/jc-vm-spec/F12650_05.pdf)
{{#include ../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink