OTA SMS의 Security
APDU command를 통해 UICC(USIM)의 파일(EF)을 업데이트를 하기 위해서는 해당 EF의 Access Condition에 따라 PIN 혹은 ADM키로 인증(Verify)가 되어야 가능하다. 그렇다면 OTA SMS를 통한 EF 업데이트의 경우에도 Access Condition을 만족해야 하는가? 실제로 OTA SMS를 spy해보면 OTA Header와 바로 이어서 APDU Command가 붙어서 내려오는 것을 확인할 수 있다. 만약 이 경우에 PIN, ADM 키 값이 들어가 있다면 Spy만 한다면 해당 UICC(USIM)의 키 값을 알 수 있기 때문에 보안에 심각한 문제가 발생된다. 즉, OTA SMS를 이용한 EF 업데이트는 Access Condition에 무관하게 동작하며 PIN, ADM..
2011.09.17