Comments 49
до разрешения всех вопросов, касающихся безопасности
Похоже, слишком безопасные, у ФСБ могут быть сложности.
Реакция ФСБ:
Шеф, все пропало, всё пропало! Гипс снимают, клиент уезжает!
ФСБ не успевает за прогрессом и просит его остановить?
Ну а если серьёзно, то о какой безопасности речь? О моей? — Я о ней сам позабочусь. О безопасности государства (так это все мы, о чём власть всегда забывает) — но договориться о противоправных действиях злоумышленники могут по телефону бомжа или по украденному, да просто в личном разговоре. Какая то уж очень общая отмазка у ФСБ, впрочем как всегда- Творим что нам надо, но исключительно в ваших интересах.
Судя по тому, что вы пишите, вы разобрались в вопросе. Насколько тяжело такую сим клонировать?
Обычные я клонировал обычным программатором для симок и проблем не было — вставил старую сим, считал, вставил болванку, записал. Готовченко. Тут же понадобится доступ к устройству и не факт что без рута и джейлбрейка его будет достаточно.
Не понял, а как сотрудник оператора без доступа к телефону склонирует данные сим (не про номер телефона речь, а про ICCID, IMSI и так далее)?
но цены-то того региона.
Ага, того региона где покупался тариф.
с привязкой к личности и телефону через его имей.
Вы знаете, я вот сейчас задумчиво смотрю на свой модем, у которого прямо в вебинтерфейсе можно установить любой IMEI и мне любопытно, как будет выглядеть подобная привязка.
полис ОМС и военный билет. Причём это всё еще и сверено на правдивость.Как ОМС и военный билет относятся к получению кредита?
Ещё вопросы по поводу того, что с привязкой к госуслугам никто есимками раскидываться в здравом уме не будет?Госуслуги уже уязвимы перед ботнетами, независимо от того, сделают через них оформление eSIM, или нет. Я о таком сценарии: хакеры получают чужие акки на гос. услугах и регают там е-симки, затем используют их в своих чёрных делишках. С чего бы им дорожить чужими аккаунтами?
Вы же специально пропустили полные данные паспорта, инн и снилса?А вы специально добавили несущественные данные в список?
Нах… фига им страдать мелочью, когда проще будет оформлять кредиты на полные данные пациента?Это где оформляют кредит только по паспортным данным? Сканов паспортов в сети и так вагон, что, можно уже бежать за кредитами?
сразу можно будет сажать по нескольким статьямФормально — нет. За что сажать человека (по текущему УК), который на подпольном форуме купил/скачал приложение «услуга смены номера». Это как купить прокси-сервер на ботнете.
За что сажать купившего краденное, зная что оно краденное? Спасибо, взоржалА формально, за что?
Более того, в условно описанной мной схеме: на телефоне ты должен будешь залогиниться в а-ля госуслугах по-сути и только после этого тебе позволят номер к есим прицепить.Номер меняет нелегальное приложение, которое в гос. услуги не просит логинится.
Да и так с поддельными паспортами берут кредиты или снимают средства с сберкнижекСоздать физический поддельный документ и пойти с ним на дело это совсем не то же самое, что просто увидеть паспортные данные.
>> А формально, за что?Кража (УК 158) не применима к угону аккаунта.
Я даже описал за что.
Меня радует, как вы отстаиваете свою позицию, раз уж её заняли, игнорируя логикуНаверное, я слишком увлёкся )))
Тем не менее, правила, как вы их видите, сейчас не существуют. Нет нормативной базы, на госуслугах нет работы с телефонами. Если сейчас разрешить eSIM, оно само как-то сложится так, что не будет достаточно контролируемо. А потом фиг что изменишь. Поэтому запрещают, вместо того, чтобы работать над хорошим безопасным решением.
Эксплоитить eSIM также "легко", как эксплоитить обычную USIM. До момента коммерческой реализации функциональности карты в SoC (чипсете) этот вектор не очень перспективный, да и потом тоже не факт. А "левые" хакерские eSIM легко будет отсеять при отсутствии у них сертификата, заверенного CA GSMA.
В SIM физическая защита хранилища ключа никак не специфицирована, но выпуском SIM занимаются фирмы с определённой репутацией. Можно купить китайфон из подвала, но SIM из подвала, сделанную на тяп-ляп, оператор не будет покупать (а именно оператор выбирает поставщиков SIM). Развязка производителя криптомодуля и основного девайса — хорошо: можно экономить на телефоне без ущерба безопасности SIM.
Когда любой абонент приходит со своей eSIM, неизвестно какого качества, оператор обязан залить туда ключи, не может отказать на основании того, что «телефон твой дырявый».
Ограничат определенными моделями устройств с сертификатом нужным
Именно. В стандарте указано, что к управлению принимаются только eSIM с определенными сертификатами. И eSIM не позволит собой управлять несертифицированной платформе. Очевидно, что кража ключей из недоверенной eSIM возможна, поэтому все учтено.
Обязанности оператора не должны будут заходить настолько далеко, чтобы управлять модулями с левыми сертификатами.
Полагаю, что даже если eSIM будет, в будущем, реализована на чипсете, ее OS все равно будет сделана венграми карт, обладающими необходимой экспертизой. Это, конечно, мое предположение, но глупо было бы изобретать велик, пренебрегая экспертизой гигантов отрасли смарт-карт.
Почему не может? Ограничат определенными моделями устройств с сертификатом нужным, имей их будет известен для ввезеных в белуюДело не в белизне. Есть такой российский бренд — DEXP, который производит мониторы, смартфоны, планшеты, клавиатуры и ещё чёрт знает что, клея свою этикетку на самый дешёвый китайский подвал. И вот как такому откажешь, на каких основаниях? Почему американский Apple пустили, а российский DEXP не пускают? Небезопасно? А какие ваши доказательства?
Tele2 запретили выдавать eSIM: власти ссылаются на «проблемы безопасности»