Credit image: Freepix
eSIM atau embedded SIM adalah kartu SIM digital yang terpasang langsung di dalam perangkat ponsel pintar, tablet, atau jam tangan pintar.
Teknologi ini semakin populer karena memungkinkan pengguna mengganti operator seluler tanpa perlu kartu fisik. Namun, baru-baru ini, sebuah kerentanan serius ditemukan pada teknologi ini, yang bisa membuka pintu bagi penjahat siber.
Penemuan ini datang dari sebuah perusahaan riset keamanan, Security Explorations, yang menemukan celah pada kartu eUICC (chip tempat eSIM terpasang) buatan perusahaan Kigen. Kerentanan ini sangat signifikan sehingga Kigen memberikan hadiah sebesar $30.000 kepada para peneliti atas laporan mereka.
Apa Itu Kerentanan pada eSIM?
Inti masalahnya terletak pada profil uji coba yang digunakan untuk pengembangan dan pengujian kepatuhan radio. Celah ini memungkinkan hacker untuk memasang program berbahaya (applet) yang tidak terverifikasi ke dalam chip eUICC.
Singkatnya, kerentanan ini adalah sebuah “pintu belakang” yang memungkinkan penyerang untuk menembus pertahanan kartu eSIM.
|
Baca juga: Mitigasi Kerentanan OpenSSH Baru |
Bagaimana Penyerang Bisa Mengeksploitasinya?
Meskipun terdengar menakutkan, perlu dicatat bahwa serangan ini tidak mudah dilakukan dan tidak menargetkan pengguna biasa secara massal. Kigen menjelaskan bahwa untuk berhasil mengeksploitasi kerentanan ini, penyerang harus memenuhi beberapa syarat khusus:
- Akses Fisik: Penyerang harus memiliki akses fisik langsung ke perangkat yang berisi kartu eSIM yang rentan.
- Kunci Publik: Penyerang harus menggunakan kunci khusus yang sudah diketahui publik.
- Memaksa Mode Uji: Mereka harus memaksa eSIM untuk masuk ke mode uji, yang membuat perangkat tidak bisa terhubung ke jaringan seluler.
Karena persyaratan yang rumit ini, serangan semacam ini lebih mungkin dilakukan oleh kelompok penyerang siber yang canggih, seperti kelompok yang didukung negara, bukan oleh penjahat siber biasa.
Bahayanya Jika eSIM Berhasil Dibajak
Jika serangan berhasil, dampaknya sangat serius:
- Penyadapan Komunikasi: Penyerang bisa menyusup ke kartu eSIM dan memasang pintu belakang rahasia. Ini memungkinkan mereka untuk menyadap semua komunikasi, termasuk panggilan, SMS, dan data internet.
- Pengambilan Alih Kartu SIM: Penyerang bisa mencuri sertifikat identitas eUICC, yang memungkinkan mereka mengunduh profil kartu SIM dari operator seluler dan memodifikasinya tanpa terdeteksi.
- Pencurian Data: Data-data penting dari kartu eSIM bisa diambil, termasuk rahasia operator seluler.
|
Baca juga: Mengidentifikasi Kerentanan Keamanan Siber |
Tanggapan dan Solusi dari Kigen
Setelah menerima laporan ini, Kigen langsung bertindak cepat. Mereka mengeluarkan buletin keamanan dan merilis pembaruan keamanan melalui Over-The-Air (OTA) untuk semua pelanggan yang terpengaruh.
Beberapa poin penting dari tanggapan mereka adalah:
- Pembaruan Sudah Dirilis: Kigen sudah mengirimkan pembaruan keamanan ke perangkat yang rentan, dan banyak pelanggan telah mengonfirmasi bahwa pembaruan berhasil.
- Tidak Menyerang Semua eSIM: Kerentanan ini hanya terbatas pada varian OS eSIM Kigen tertentu yang dikonfigurasi khusus untuk tujuan pengembangan dan pengujian, bukan pada semua produk eSIM yang digunakan secara umum.
- Standar Keamanan Ditingkatkan: Kigen bekerja sama dengan GSMA (asosiasi industri seluler global) untuk merevisi standar spesifikasi uji coba, memastikan kerentanan serupa tidak terjadi lagi di masa depan.
Kesimpulan
Penemuan kerentanan pada eSIM ini menunjukkan bahwa tidak ada teknologi yang 100% aman. Namun, ini juga merupakan bukti bahwa industri keamanan siber bekerja keras untuk menemukan dan memperbaiki celah-celah tersebut sebelum dapat dieksploitasi secara luas.
Bagi pengguna biasa, risiko serangan ini sangat kecil karena tingkat kesulitannya yang tinggi. Peran Anda sebagai pengguna adalah selalu memastikan perangkat lunak dan sistem operasi ponsel Anda selalu diperbarui.
Sumber berita:
