近年来有越来越多手机用户告别传统的实体SIM卡,转用称为“eSIM”的嵌入式手机识别卡,受访专家提醒,eSIM或许比传统SIM卡安全,但也无法完全避开网络攻击风险。
本地四大电信公司都已推出eSIM选项,并发现更多手机用户倾向于选择允许用户在同一设备使用多个号码、更环保的eSIM。eSIM也称为虚拟SIM卡,它通过手机内的晶片直接存储用户信息,用户可通过手机应用或二维码启动或切换电信服务,省去插拔实体SIM卡的麻烦。
新电信国际数码服务候任首席执行官叶安娜答复《联合早报》时指出,尽管eSIM的采用尚处于早期阶段,但新电信看到eSIM接受度很高。她说,新电信早在2017年就开始为可穿戴科技产品提供eSIM服务,并在2023年向游客免费提供eSIM。今年5月起,新电信也向后付费移动客户免费提供eSIM。
星和发言人指出,自今年2月推出eSIM以来,星和注意到越来越多客户对eSIM感兴趣。“很明显,eSIM正成为对许多人有吸引力的选择,尤其是随着越来越多的设备支持这项技术。”目前星和用户更换eSIM的费用为10.90元,实体SIM卡的费用则为38.15元。
M1发言人说,公司于2018年开始提供eSIM服务,近年来eSIM的使用率大幅增加。目前,对于新客户、续约客户,以及升级到5G eSIM的4G客户,M1免费向他们发放eSIM。
SIMBA官网也显示提供eSIM和传统SIM卡两种选项。
《联合早报》近日报道,电信业者星和旗下的流动虚拟网络经营商(Mobile Virtual Network Operator,简称MVNO)品牌giga!,因未核实将eSIM转移到另一台手机的用户身份,导致用户敏感信息外泄。作为监管机关的资讯通信媒体发展局已展开调查。资媒局也提醒消费者采取措施,保护网络账户和个人信息,例如避免为不同账户设定相同密码。这起事件也引发民众对eSIM安全问题的关注。
专家:对eSIM的攻击 重点不在于eSIM技术
网络安全公司Acronis的首席信息安全长里德(Kevin Reed)指出,在某些情况下,eSIM会更安全。他说,传统的SIM卡不受个人身份识别码(Personal identification number,简称PIN码)的保护,这意味着如果能从手机中取出实体SIM卡,就能接收敏感短信。使用eSIM,这种情况几乎不可能发生,因为手机通常被锁定。
一般上,提供eSIM服务的电信公司允许用户免费下载一定次数的eSIM二维码以安装在设备上,并且须在原设备上删除eSIM后,才能在新设备上安装同一个eSIM。
“对eSIM的攻击,重点不在于eSIM的技术,而是它们如何被(重新)发放出去使用。如果运营商没有采取措施保护敏感操作,这完全是运营商资讯科技系统的问题,不是eSIM设计的问题。”
MVNO网络安全引发疑虑
南洋理工大学拉惹勒南国际研究院(RSIS)国防与战略研究所区域安全架构项目研究员费扎尔(Muhammad Faizal Bin Abdul Rahman)提醒,虽然eSIM作为比实体SIM卡更安全的产品来推广,但没有一种数码产品能完全免受网络攻击的威胁。如果海外电信公司依赖的网络基础设施遭攻击,MVNO也可能受影响,面对遭受进一步攻击的风险。
除了因电信公司未充分核实身份而导致用户信息外泄,在其他国家,MVNO网络的安全也引发疑虑,当中包括有外国政府支持背景的MVNO。
美国联邦通信委员会此前已命令中国电信美洲公司在2022年1月3日前,停止在美国境内提供任何国内或国际电信服务。另据《纽约时报》12月17日报道,针对疑似中国向美国电信公司的大规模黑客攻击,拜登政府已采取措施封禁中国电信在美国仅存的一些业务。
本地也有外国业者运营的,包括MVNO在内的电信公司,里德说,由于MVNO使用托管电信公司的基础设施,从电信网络安全角度来看,MVNO和电信公司承受的风险几乎相同。换句话说,在新加坡的电信公司也可能成为外国攻击的目标。
