• IT-Karriere:
  • Services:

Mobilfunk: Eine SIM-Karte - viele merkwürdige Funktionen

Eine SIM-Karte meldet unser Smartphone im Mobilfunknetz an - doch der kleine Computer im Chipkartenformat kann deutlich mehr, zum Beispiel TLS oder Java-Applikationen updaten.

Artikel von veröffentlicht am
SIM-Karten können von Mobilfunkanbietern aktualisiert werden.
SIM-Karten können von Mobilfunkanbietern aktualisiert werden. (Bild: Narcis Ciocan/Pixabay)

In jedem Handy oder Smartphone steckt eine SIM-Karte, doch was kann der kleine Extra-Computer in unseren Smartphones eigentlich? Osmocom-Entwickler und CCC-Mitglied Harald Welte beschäftigt sich seit vielen Jahren mit SIM-Karten. Auf dem Hackerkongress 36C3 zeichnet er die Evolution der Karten nach - bis hin zu einer eigenen TLS-Implementierung, über welche Mobilfunkanbieter Updates verteilen können.

Stellenmarkt
  1. Niedersächsischer Landesrechnungshof, Hildesheim
  2. aluplast GmbH, Karlsruhe

Bei der SIM-Karte handelt es sich um eine Art eines kleinen Computers mit einem Prozessor, RAM und ROM. Allein auf der Hardwareebene seien die Karten sehr unterschiedlich, erklärt Welte. Beispielsweise könnten unterschiedliche Prozessorarchitekturen zum Einsatz kommen. Heute werde jedoch meist auf ARM-Cores gesetzt. Spätestens mit den Prepaid-Karten spiele vor allem der Preis von dem SIM-Karten eine entscheidende Rolle, im Unterschied zu teuren Crypto-Smartcards setzten die SIM-Karten beispielsweise meist auf softwareseitige Verschlüsselung.

Gleich sieben Organisationen sind oder waren an der Standardisierung der SIM-Karte beteiligt, entsprechend unübersichtlich ist die Situation, wie Welte auf dem 36C3 zeigt. Ursprünglich wurde die SIM-Karte von der europäischen Organisation ETSI (European Telecommunications Standards Institute) standardisiert, Mit der Einführung von 3G wurde jedoch eine neue Organisation gegründet, damit nicht nur europäische Institutionen am Standardisierungsprozess beteiligt sind. Die USIM (Universal Subscriber Identity Module) löste die klassische SIM-Karte ab. Letztere wurde zu einem Programm auf der neuen USIM.

SIM-Updates aus dem Mobilfunknetz

Auch bei 4G und 5G wird auf die USIM gesetzt, die über die Jahre viele, teils merkwürdige Funktionen erhalten hat. Eine davon ist das SIM-Toolkit. Auf manchen Telefonen könnten die Nutzer eine gleichnamige Applikation öffnen, ansonsten bekämen sie davon hierzulande nicht viel mit, erklärt Welte. Anders sei das beispielsweise in Kenia: Dort baut das mobile Bezahlsystem auf dem SIM-Toolkit auf.

Die SIM-Karte sei ursprünglich als Slave konzipiert worden, erklärt Welte. Damit die Karte auch selbst aktiv werden könne, sei die Proactive SIM eingeführt worden. Mit OTA (Over-the-Air) können Mobilfunkanbieter die SIM-Karte beispielsweise über spezielle SMS updaten. Das funktioniere sogar im großen Stil über einen Cell-Broadcast, erklärt Welte. Eine sinnvolle Anwendung seien beispielsweise Roaming-Listen, die darüber verteilt werden könnten. Die Mobilfunkunternehmen können mit RFM (Remote File Management) auch Dateien von der SIM-Karte auslesen. Vodafone habe in den Niederlanden damit geworben, das Adressbuch der Nutzer auslesen zu können, um ein Backup für die Nutzer zu erstellen.

TLS auf der SIM-Karte

Mit RAM (Remote Application Management) können die Mobilfunkunternehmen auf diese Weise auch Java-Applikationen auf den SIM-Karten installieren oder aktualisieren. Mit 4G und 5G werden SMS und USSD von Webtechnologien wie dem SMS-Nachfolger RCS abgelöst, zu dem erst im November erhebliche Sicherheitslücken veröffentlicht wurden, die das Mitlesen von SMS ermöglichen. Entsprechend funktioniert auch das Update der SIM-Karte nicht mehr mit speziellen SMS, sondern über HTTPS. Auf der SIM-Karte läuft daher eine eigene TLS-Implementierung mit Pre-Shared-Keys.

Besonders merkwürdig sei S@T, das aus der Standardisierung herausfalle. "Ich bin mir sicher, dass es dafür einen guten Anwendungsfall gibt, aber ich kenne ihn nicht", sagte Welte. Auf manchen SIM-Karten laufe daher der S@T-Browser, ein Java-Programm, das in einer Java-VM läuft und Befehle entgegennimmt. Diese ließen sich mit präparierten SMS triggern und könnten beispielsweise den Standort eines Telefons ermitteln und per SMS an den Angreifer senden, ohne Interaktion oder Information des Mobiltelefon-Nutzers. Im September wurde mit Simjacker ein entsprechender Angriff publiziert, der von einer Überwachungsfirma bereits aktiv praktiziert wurde. Mindestens 29 Länder sollen betroffen sein, Deutschland, Österreich und die Schweiz jedoch nicht.

Am Schluss verweist Welte noch auf die eSIM, die aktuell vor allem im Apple-Umfeld eingesetzt werde. Die eSIM wird direkt mit in das Smartphone eingebaut und erst später von den Mobilfunkunternehmen mit einem passenden Profil versehen. Ohne einen Schreibzugriff durch die Mobilfunkunternehmen kann die eSIM schlicht nicht funktionieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. INNO3D GeForce RTX 3060 Ti Twin X2 OC Grafikkarte für 519€)
  2. (u. a. AMD Ryzen 7 5800X, Prozessor für 509€)
  3. (u. a. ZOTAC Gaming GeForce RTX 3060 Ti Twin Edge für 523,18€)
  4. (u. a. ZOTAC GAMING GEFORCE RTX 3060 TI TWIN EDGE 8GB GDDR6 für 411,56€)

Schulz 12. Jan 2020

Ich freue mich darauf! Toll, oder!

1e3ste4 30. Dez 2019

eSIM ist KEINE Softwarefunktion: https://de.wikipedia.org/wiki/ESIM

SörenWillNichtH... 30. Dez 2019

But can it run Crysis? xD

aetzchen 30. Dez 2019

Ich habe immer noch meine Uralte SIM. Vodafone schickt mit zwar bei jeder...

loktron 30. Dez 2019

Habe mich immer schon gefragt, was die kleinen Chips so besonders macht, aber das hat...


Folgen Sie uns
       


Xbox Series X - Hands on

Golem.de konnte die Xbox Series X bereits ausprobieren und stellt die Konsole vor. Außerdem zeigen wir, wie Quick Resume funktioniert - und die Ladezeiten.

Xbox Series X - Hands on Video aufrufen
Zenbook Flip UX371E im Test: Asus steht sich selbst im Weg
Zenbook Flip UX371E im Test
Asus steht sich selbst im Weg

Das Asus Zenbook Flip UX371E verbindet eines der besten OLED-Displays mit exzellenter Tastatur-Trackpad-Kombination. Wäre da nicht ein Aber.
Ein Test von Oliver Nickel

  1. Vivobook S14 S433 und S15 S513 Asus bringt Tiger-Lake-Notebooks ab 700 Euro
  2. Asus Expertbook P1 350-Euro-Notebook tauscht gutes Display gegen gesteckten RAM
  3. Asus Zenfone 7 kommt mit Dreifach-Klappkamera

iPhone 12 Mini im Test: Leistungsstark, hochwertig, winzig
iPhone 12 Mini im Test
Leistungsstark, hochwertig, winzig

Mit dem iPhone 12 Mini komplettiert Apple seine Auswahl an aktuellen iPhones für alle Geschmäcker: Auf 5,4 Zoll sind hochwertige technischen Finessen vereint, ein besseres kleines Smartphone gibt es nicht.
Ein Test von Tobias Költzsch

  1. Apple Bauteile des iPhone 12 kosten 313 Euro
  2. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler
  3. iPhone Magsafe ist nicht gleich Magsafe

Futuristische Schwebebahn im Testbetrieb: Verkehrsmittel der Zukunft für die dritte Dimension
Futuristische Schwebebahn im Testbetrieb
Verkehrsmittel der Zukunft für die dritte Dimension

Eine Schwebebahn für die Stadt, die jeden Passagier zum Wunschziel bringt - bequem, grün, ohne Stau und vielleicht sogar kostenlos. Ist das realistisch?
Ein Bericht von Werner Pluta

  1. ÖPNV Infraserv Höchst baut Wasserstofftankstelle für Züge

    •  /