Wat is e-sim?
Al sinds jaar en dag zijn mobiele telefoons voorzien van simkaarten. Simkaarten zijn in de loop der jaren steeds kleiner geworden, maar het proces voor overstappen naar een nieuwe provider is nog altijd relatief tijdrovend. Sluit je een nieuw (sim only) abonnement af, dan moet je wachten tot de simkaart is aangekomen om deze in je toestel te stoppen. Pas dan kun je met je abonnement aan de slag.
E-sim moet dat probleem oplossen. Het zijn kleine chips die in elke smartphone worden ingezet als virtuele simkaart. Bij het instellen van je smartphone geef je aan wat je provider is, en vervolgens worden de benodigde gegevens via een beveiligde server voor je gedownload. Zo heb je geen gedoe meer met een simkaart en kun je direct aan de slag.
Bovendien is e-sim niet alleen sneller, maar ook veiliger. Iemand kan niet zomaar je simkaart stelen en hem zelf gebruiken in een eigen smartphone. E-sims zijn gebonden aan je eigen smartphone. Tevens geeft het fabrikanten net wat meer ruimte aan de binnenkant van je smartphone. Een nano-simkaart is al klein, maar nu smartphones steeds dunner en lichter worden telt elke millimeter. Zonder simkaart is er bijvoorbeeld meer ruimte voor de accu. Ook is het net wat makkelijker om een smartphone waterdicht of steviger te maken, omdat er een inkeping in het toestel geschrapt kan worden.
Waar bleef het nou, ondersteuning voor e-sims in Nederland? E-sims zijn niet echt een gloednieuw fenomeen en zitten al een paar jaar in apparaten. Het grote verschil met een reguliere simkaart is dat een e-sim herprogrammeerbaar is: je kunt dus met een enkele e-sim makkelijk wisselen van provider en abonnement. Een normale simkaart kan dat niet: die heeft codes aan boord die niet overschreven kunnen worden.
De eerste e-sims waren nog fysieke kaartjes, zoals de Apple Sim in iPads rond vier jaar geleden. Daarna kwamen e-sims als chips in bijvoorbeeld smartwatches. Twee jaar geleden kwam de eerste telefoon met e-sim op de markt met de Google Pixel 2. En vorig jaar, met de iPhone XS, kwam de eerste telefoon van een heel grote fabrikant met e-sim uit.
Het is inmiddels duidelijk dat providers e-sims niet met open armen hebben ontvangen. Dat is logisch ook: wisselen van provider is dan simpelweg het downloaden van een profiel in je instellingenmenu. Je kunt sneller je provider aan de kant zetten dan dat je een pak melk kan halen in de supermarkt. De tijd van het wachten tot er een envelop met een fysiek simkaartje op je mat valt zijn dan voorbij. Daarnaast is het een gedoe om de back-end bij providers klaar te maken voor e-sims.
Maar nu is het dan zover. Nadat Truphone al een tijdje diensten aanbood in Nederland en Voiceworks het whitelabel ging aanbieden, is T-Mobile als eerste grote Nederlandse provider begonnen met het ondersteunen van e-sims, in elk geval voor de iPhone XS, XS Max en XR. Maar wat kun je er eigenlijk mee en waarom bestaan ze?
Hoe e-sim werkt
Een simkaart moet het netwerk garanderen dat een apparaat toestemming heeft op dat netwerk actief te zijn. Er is in dat opzicht geen verschil tussen een reguliere simkaart en een e-sim.
Beide melden zich aan op het netwerk met hashes van sleutels. Het grote verschil is dat de e-sim die sleutels over-the-air krijgt op het moment dat een gebruiker een databundel of abonnement afsluit, terwijl dat bij een fysieke simkaart niet over-the-air gebeurt. Dat kan strikt genomen wel, zo zegt tweaker Odie, zelf werkzaam bij Voiceworks, in reactie op de informatie in dit artikel.
Die bundel met hashes van codes heet een profiel. Om de profielen te kunnen ontvangen en om de databundels en abonnementen van de verschillende netwerken te kunnen laten zien, heeft een e-sim voor de zakelijke markt, machine-to-machine, een bootstrapprofiel nodig. Die wordt er ingezet door de fabrikant en zorgt ervoor dat de e-sim bij een server kan om de simprofielen te downloaden. Bij consumentenversies is dat niet zo: je moet zelf maar voor een internetverbinding zorgen om een e-simprofiel te kunnen downloaden.
De e-sim is vaak gewoon een chip, een microcontroller die op het pcb van een apparaat gesoldeerd zit. Zo heeft de Google Pixel 2 een ST33M1G2 van ST Microelectronics. Die heeft een ARM SecurCore op 25MHz, 30 kilobyte aan ram en tot 1280 kilobyte aan opslag.
Het hoeft geen chip te zijn. De letter 'e' in e-sim staat weliswaar voor embedded, maar dat verwijst alleen naar de functie om simprofielen te downloaden en dat kan ook op een plastic kaartje dat de gebruiker gewoon kan verwijderen. De iPad Air 2 had bijvoorbeeld een los simkaartje met e-sim-functionaliteit. Moderne apparaten, zoals onder meer in de iPhone XS en Google Pixel 3, hebben chips ingebouwd die als e-sim dienen. Een e-sim is dus niet per definitie een ingebouwde simkaart; het is simpelweg een benaming voor een simkaart met de mogelijkheid om op elk gewenst moment een simprofiel te downloaden.
GSMA standarisatie
Er is iets geks met de e-sim. Het is namelijk een standaard van de GSMA, de koepelorganisatie van providers.
Die stelt normaal geen standaarden vast, want in de telecomindustrie is dat in handen van partijen als de 3GPP en ETSI. Die kwamen er kennelijk niet uit, want de GSMA heeft het op zich genomen om de e-sim te standaardiseren.
E-sim is een andere benaming voor embedded Universal Integrated Circuit Card: eUICC. Dat is de opvolger van de USIM, de simkaart die in gebruik kwam met 3g-netwerken en een betere beveiliging bood dan de simkaarten daarvoor. De varianten van simkaarten hebben niets te maken met de fysieke verschijningsvorm. USIM-kaarten zagen er hetzelfde uit als de simkaarten die daarvoor in gebruik waren en eUICC-kaarten kunnen gewone nanosimkaarten zijn; het is de werking die verschilt.
De e-sim kan namelijk verschillende profielen tegelijk aan boord hebben. De traditionele simkaart in telefoons heeft een enkele imsi, een international mobile subscriber identity. De eUICC-kaart kan verscheidene profielen tegelijk aan.
Gevolgen voor privacy en beveiliging zijn niet te verwachten. De e-sim functioneert behalve de herprogrammeerbaarheid als een reguliere simkaart en heeft dezelfde beveiliging. Als de standaard veel lekken had bevat, waren die vermoedelijk afgelopen jaren al naar boven gekomen; het zit immers al een jaar in de iPhone XS.
Waarvoor en hoe je het kunt gebruiken
E-sims zijn bruikbaar in diverse scenario's. Het is duidelijk te zien dat fabrikanten en providers tot nu toe niet hebben geprobeerd om de primaire simkaart in een telefoon te vervangen met een e-sim.
Tablets hebben e-sims, horloges hebben e-sims en als telefoons een e-sim hebben, gaat het tot nu toe altijd om een tweede 'simkaartslot' in een dualsim-opstelling.
Dat hangt samen met de toepassingen. In smartwatches is het mogelijk om ze te gebruiken zonder telefoon in de buurt, met een eigen 4g-verbinding en beperkt datagebruik. In tablets gaat het vaak om aparte databundels voor de tablet, zonder belminuten en zonder vast abonnement. In telefoons is het heel logisch om een e-sim te gebruiken op reis. Als je landt in bijvoorbeeld de Verenigde Staten - een land waar roamen voor veel Nederlanders duur is - is het mogelijk om databundels uit te kiezen in het instellingenmenu.
Providers zien dat vermoedelijk wel zitten. Klanten die roamen op een buitenlands netwerk, leveren vaak weinig tot niets op voor die lokale provider. Maar als ze een databundel bij hen afnemen, zijn ze ineens wél een echte betalende klant. Het zal een reden zijn dat veel providers met e-sims databundels aanbieden, in plaats van abonnementen. Het ligt voor de hand dat toestelmakers het liefst het simslot zien verdwijnen en een chip zouden willen inbouwen. Immers, dat slot kost ruimte en het is een opening die bij waterdichte behuizing dicht moet zitten. Bovendien moet het aan de buitenkant zitten. Bij een e-sim hoeft dat niet en dat maakt meer ruimte vrij in smartphonebehuizingen.
Het downloaden van een profiel op een e-sim kan op meerdere manieren. T-Mobile werkt met een qr-code, maar het kan ook anders. De Amerikaanse tak van T-Mobile werkt bijvoorbeeld met een eigen app, T-Mobile E-sim, om een abonnement af te sluiten. Dat werkt niet in Nederland. T-Mobile is weliswaar de eerste grote provider die in Nederland e-sims aanbiedt, maar niet de eerste of enige. Truphone begon vorig najaar al met het aanbieden van e-sim in bundels voor gebruik op reis - maar ook in Nederland. Dat werkt via een app. Het Nederlandse Voiceworks heeft e-sim white labeled in het assortiment zitten; andere bedrijven kunnen e-sims gaan aanbieden onder een eigen merknaam via Voiceworks. Dat kan sinds oktober 2019.
Het gevaar van sim-swapping
Gehackt worden via je 06-nummer. Het wordt een stuk makkelijker met de komst van de e-sim, de nieuwe digitale simkaart. Met alleen een wachtwoord kan een hacker voortaan op afstand jouw telefoonnummer overnemen.
Zodra de hacker jouw 06-nummer in handen krijgt, heeft hij toegang tot alle online accounts die zijn gekoppeld aan dat telefoonnummer, zoals e-mail, sociale media en betaaldiensten. Honderden Nederlanders zijn vorig jaar slachtoffer geworden van hackers die hun 06-nummer overnemen, ook wel sim-swapping genoemd. "Met de komst van de e-sim kan dit probleem veel groter worden, met een enorme impact voor slachtoffers: hun digitale leven kan worden overgenomen", zegt Dave Maasland van cyberbeveilingsbedrijf ESET.
Sim-swappen
Klanten van T-Mobile kunnen sinds oktober 2019 gebruikmaken van de e-sim. Je hoeft dan geen plastic simkaartje meer in je telefoon te stoppen om mobiel bereik te hebben. Om de e-sim te gebruiken, log je in op de website van T-Mobile en scan je met je smartphone een QR-code om de e-sim te activeren.
Als een aanvaller toegang krijgt tot jouw wachtwoord voor T-Mobile kan diegene binnen een paar seconden jouw 06-nummer overnemen. T-Mobile verifieert niet wie er inlogt en wie de e-sim op welk toestel activeert. De aanvaller kan zonder enige verificatie het 06-nummer overnemen.
Gehackte accounts
Voorheen moest een hacker bij sim-swapping de telecomprovider van het slachtoffer opbellen en de medewerker overtuigen om het 06-nummer over te zetten naar een simkaart die in zijn bezit is.
Rekeningen plunderen
Criminele hackers die aan sim-swapping doen, proberen op allerlei manieren aan geld te komen. Ze nemen de online accounts van een slachtoffer over en vragen losgeld. Als er niet wordt betaald, dan dreigen ze gevoelige e-mails, foto's of documenten te publiceren.
Maar ze kunnen ook inloggen bij betaaldienst PayPal of cryptocurrencybeurs Coinbase om daar iemands rekening te plunderen. Van sommige slachtoffers zijn honderdduizenden en soms miljoenen euro's gestolen omdat hun 06-nummer werd overgenomen. Omdat veel mensen hun telefoonnummer aan hun online accounts koppelen, is het mogelijk om via een sms het wachtwoord opnieuw in te stellen. "Daarmee is je 06-nummer net als je e-mailaccount een cruciaal onderdeel van je online leven", vertelt Maasland.
Met de komst van e-sim wordt deze aanval een stuk makkelijker uit te voeren. Op de plekken waar criminele hackers samenkomen, zoals ondergrondse fora en Telegram, wordt dan ook enthousiast op deze nieuwe technologie gereageerd. Inmiddels worden gehackte T-Mobile-accounts doorverkocht om op deze manier 06-nummers van nietsvermoedende slachtoffers over te nemen. De prijs voor gehackte accounts wisselt van een een paar tot enkele tientallen euro's.
"Het is zorgwekkend dat criminelen hier zo snel op inspelen", stelt Maasland. Hij wijst naar grote datalekken bij bedrijven als MyFitnessPal waardoor wachtwoorden op straat liggen. Als je dan hetzelfde wachtwoord voor verschillende diensten gebruikt, loop je gevaar. Volgens Maasland moet T-Mobile extra beveiligingsmaatregelen nemen om misbruik te voorkomen: "Dat kan al door de de QR-code waarmee de e-sim wordt geactiveerd, naar de klant te e-mailen. Dan moet de aanvaller ook toegang hebben tot het e-mailaccount van het slachtoffer, en dat account is meestal beter beveiligd. Maar ook een extra inlogverificatie op de website is een optie."
Hoe bescherm je jezelf tegen sim-swapping?
Het is allereerst belangrijk om voor het inloggen bij je provider een sterk en uniek wachtwoord te gebruiken.
Daarnaast kun je je telefoonnummer bij je belangrijkste online accounts verwijderen, zodat hackers niet je wachtwoord kunnen resetten als ze je 06-nummer overnemen.
In plaats van je telefoonnummer kun je een zogeheten authenticator-app als Authy te gebruiken. Dit is een app die inlogcodes genereert die je normaal gesproken via een sms-bericht ontvangt. Authy biedt handleidingen aan voor het instellen van deze extra beveiliging, ook wel tweestapsverificatie genoemd, voor onder andere Gmail, Microsoft, Facebook, Instagram, Dropbox en Twitter.
Bij WhatsApp kun je ook een extra beveiliging in de vorm van een pincode instellen. Als een aanvaller jouw 06-nummer overneemt, moet hij eerst nog deze pincode invoeren voordat WhatsApp kan worden geactiveerd.
E-sim aanbieders
T-Mobile is nu dus begonnen in Nederland. KPN gaat dat ook 'op termijn' doen, zo bevestigt de provider.
"Wij volgen uiteraard de ontwikkelingen op de markt en ondersteunen eSim en remote sim provisioning reeds op het gebied van internet-of-things. Op termijn gaan we dit ook voor andere toepassingen ondersteunen. Maar op dit moment kunnen we daar nog niet concreet over zijn", aldus een woordvoerder.
VodafoneZiggo wil zo ver niet gaan. "VodafoneZiggo volgt de ontwikkeling rondom de e-sim met grote interesse. Over toekomstige plannen kunnen wij echter geen uitspraken doen", aldus een woordvoerster. Dat is hetzelfde geluid als we al jaren horen uit de provider.
De e-sim komt eraan, ook al duurt het langer dan veel mensen misschien hadden gedacht.
Met de ondersteuning van T-Mobile kunnen gebruikers van de nieuwste iPhones en Pixel-telefoons in elk geval aan de slag.
Het is ook de vraag wanneer andere fabrikanten volgen. Er zijn nog geen modellen van Samsung, Huawei, Xiaomi, OnePlus of andere fabrikanten met een e-sim. Dat valt op, omdat veel van die fabrikanten vlug zijn met het implementeren van nieuwe technieken. Wellicht was het een kip-ei-kwestie die de iPhone XS heeft doorbroken: nu er eenmaal telefoons zijn met e-sim-ondersteuning, komen er wellicht meer providers die het gaan aanbieden. En als meer providers het ondersteunen, zullen meer smartphonemakers het gaan inbouwen. Zo kan het de komende jaren ineens snel gaan.
© 2022 Veilig Digitaal