Mobilfunk: Eine SIM-Karte - viele merkwürdige Funktionen

In jedem Handy oder Smartphone steckt eine SIM-Karte, doch was kann der kleine Extra-Computer in unseren Smartphones eigentlich? Osmocom-Entwickler und CCC-Mitglied Harald Welte beschäftigt sich seit vielen Jahren mit SIM-Karten. Auf dem Hackerkongress 36C3 zeichnet er die Evolution der Karten nach - bis hin zu einer eigenen TLS-Implementierung, über welche Mobilfunkanbieter Updates verteilen können.

Bei der SIM-Karte handelt es sich um eine Art eines kleinen Computers mit einem Prozessor, RAM und ROM. Allein auf der Hardwareebene seien die Karten sehr unterschiedlich, erklärt Welte. Beispielsweise könnten unterschiedliche Prozessorarchitekturen zum Einsatz kommen. Heute werde jedoch meist auf ARM-Cores gesetzt. Spätestens mit den Prepaid-Karten spiele vor allem der Preis von dem SIM-Karten eine entscheidende Rolle, im Unterschied zu teuren Crypto-Smartcards setzten die SIM-Karten beispielsweise meist auf softwareseitige Verschlüsselung.

Gleich sieben Organisationen sind oder waren an der Standardisierung der SIM-Karte beteiligt, entsprechend unübersichtlich ist die Situation, wie Welte auf dem 36C3 zeigt. Ursprünglich wurde die SIM-Karte von der europäischen Organisation ETSI (European Telecommunications Standards Institute) standardisiert, Mit der Einführung von 3G wurde jedoch eine neue Organisation gegründet, damit nicht nur europäische Institutionen am Standardisierungsprozess beteiligt sind. Die USIM (Universal Subscriber Identity Module) löste die klassische SIM-Karte ab. Letztere wurde zu einem Programm auf der neuen USIM.

SIM-Updates aus dem Mobilfunknetz

Auch bei 4G und 5G wird auf die USIM gesetzt, die über die Jahre viele, teils merkwürdige Funktionen erhalten hat. Eine davon ist das SIM-Toolkit. Auf manchen Telefonen könnten die Nutzer eine gleichnamige Applikation öffnen, ansonsten bekämen sie davon hierzulande nicht viel mit, erklärt Welte. Anders sei das beispielsweise in Kenia: Dort baut das mobile Bezahlsystem auf dem SIM-Toolkit auf.

Die SIM-Karte sei ursprünglich als Slave konzipiert worden, erklärt Welte. Damit die Karte auch selbst aktiv werden könne, sei die Proactive SIM eingeführt worden. Mit OTA (Over-the-Air) können Mobilfunkanbieter die SIM-Karte beispielsweise über spezielle SMS updaten. Das funktioniere sogar im großen Stil über einen Cell-Broadcast, erklärt Welte. Eine sinnvolle Anwendung seien beispielsweise Roaming-Listen, die darüber verteilt werden könnten. Die Mobilfunkunternehmen können mit RFM (Remote File Management) auch Dateien von der SIM-Karte auslesen. Vodafone habe in den Niederlanden damit geworben, das Adressbuch der Nutzer auslesen zu können, um ein Backup für die Nutzer zu erstellen.

TLS auf der SIM-Karte

Mit RAM (Remote Application Management) können die Mobilfunkunternehmen auf diese Weise auch Java-Applikationen auf den SIM-Karten installieren oder aktualisieren. Mit 4G und 5G werden SMS und USSD von Webtechnologien wie dem SMS-Nachfolger RCS abgelöst, zu dem erst im November erhebliche Sicherheitslücken veröffentlicht wurden, die das Mitlesen von SMS ermöglichen. Entsprechend funktioniert auch das Update der SIM-Karte nicht mehr mit speziellen SMS, sondern über HTTPS. Auf der SIM-Karte läuft daher eine eigene TLS-Implementierung mit Pre-Shared-Keys.

Besonders merkwürdig sei S@T, das aus der Standardisierung herausfalle. "Ich bin mir sicher, dass es dafür einen guten Anwendungsfall gibt, aber ich kenne ihn nicht", sagte Welte. Auf manchen SIM-Karten laufe daher der S@T-Browser, ein Java-Programm, das in einer Java-VM läuft und Befehle entgegennimmt. Diese ließen sich mit präparierten SMS triggern und könnten beispielsweise den Standort eines Telefons ermitteln und per SMS an den Angreifer senden, ohne Interaktion oder Information des Mobiltelefon-Nutzers. Im September wurde mit Simjacker ein entsprechender Angriff publiziert, der von einer Überwachungsfirma bereits aktiv praktiziert wurde. Mindestens 29 Länder sollen betroffen sein, Deutschland, Österreich und die Schweiz jedoch nicht.

Am Schluss verweist Welte noch auf die eSIM, die aktuell vor allem im Apple-Umfeld eingesetzt werde. Die eSIM wird direkt mit in das Smartphone eingebaut und erst später von den Mobilfunkunternehmen mit einem passenden Profil versehen. Ohne einen Schreibzugriff durch die Mobilfunkunternehmen kann die eSIM schlicht nicht funktionieren.