Adam Gowdiak, oprichter en CEO van Security Explorations, meldt een manier te hebben gevonden om via een eSIM-kwetsbaarheid malafide applets te installeren op de eSIM. Gowdiak wees jaren geleden al op een kwetsbaarheid in Oracle Java Card, een applicatieomgeving voor chips die draaien op apparaten met beperkte capaciteit. Het ging om een zogeheten 'type confusion', ontstaan door het ontbreken van bytecode-verificatie in de Java Card's Virtual Machine (VM)-implementatie. Oracle meldde destijds dat de bevindingen van Gowdiak 'niet toepasbaar' waren, en heeft het probleem daarom nooit opgelost.

Nu meldt Gowdiak deze onopgeloste kwetsbaarheid te hebben gebruikt voor het omzeilen van de beveiliging van eSIM's. De onderzoeker legt uit hiervoor wel initieel fysieke toegang nodig te hebben tot een Kigen eUICC (een systeem waarmee eSIM profielen beheert op een telefoon) om de private key te kunnen achterhalen waarmee de telefoons zich authenticeren bij mobiele netwerkproviders. Met behulp van deze sleutel kon hij vervolgens willekeurige eSIM-profielen van mobiele netwerkoperators downloaden in plain text, die de sleutels bevatten die nodig zijn voor het installeren van eSIM-profielen. Met behulp van deze sleutels en dankzij het ontbreken van de juiste controles in eSIM kon hij kwaadaardige applets over-the-air (OTA) installeren op de eSIM.

De kwetsbaarheid heeft geen Common Vulnerabilities and Exposures (CVE)-nummer gekregen. Wel is het beveiligingsprobleem beoordeeld met een score van 6.7 op de Common Vulnerability Scoring System (CVSS)-schaal.