• 發布單位:TWCERT/CC
• 更新日期:2026-06-26
• 點閱次數:123

美國東北大學研究團隊於 2025 年資安學術研討會 USENIX Security Symposium 發表實證研究報告《eSIMplicity or eSIMplification? Privacy and Security Risks in the eSIM Ecosystem》，針對數十款市售旅遊 eSIM 進行實際測試，發現多數旅遊 eSIM 採用Home-Routed Roaming（HRR）架構，使用者流量不會從當地網路直接出口，而是先回送至本籍網路（Home Network）業者的核心設施處理後才連上目的地服務。部分業者的本籍網路位於中國，因此使用者的流量會先經過中國電信業者的基礎設施。在 HRR 架構下，本籍網路可完整看到連線時間戳記、來源位置、DNS 查詢紀錄及所存取的服務端點，即使傳輸層已採用 TLS 加密，這些連線層級的紀錄仍可被側錄，且業者通常不會主動於商品頁面揭露相關資訊。

多款eSIM流量繞送中國電信業者基礎設施

研究團隊透過 traceroute 與 IP 地理位置資料庫交叉比對，確認多款 eSIM 的 Public IP 出口地點與使用者所在地不符。以登記於愛爾蘭的 Holafly為例，流量實際經由中國移動國際的香港節點對外連線，Public IP 顯示在中國境內，其訂閱管理伺服器（Subion Manager Data Preparation，SM-DP+，負責準備 eSIM 設定檔並使其可供使用者裝置下載的後端基礎設施）位址亦屬中國移動網路，代表 eSIM 設定檔的下載與管理流程本身亦由中國移動控制。

研究亦發現部分 eSIM 設定檔內嵌 SIM Application Toolkit（STK）指令，可在使用者不介入操作的情況下主動發起資料連線或接收簡訊。研究人員觀察到特定 eSIM在使用者不知情的情況下，透過設定檔主動連線至境外伺服器，並接收來自香港號碼的簡訊。

旅遊 eSIM 轉售商可追蹤用戶位置並向裝置植入惡意指令

成為轉售商的門檻極低，旅遊 eSIM 市場存在大量轉售商，轉售商本身不擁有電信基礎設施，僅向行動網路業者（MNO，Mobile Network Operator） 或行動虛擬網路業者（MVNO，Mobile Virtual Network Operator） 批發設定檔後轉賣。

研究指出，研究人員實際開設帳號後發現，轉售商可透過 API 存取啟用中使用者的國際行動用戶識別碼（IMSI，International Mobile Subscriber Identity）、行動用戶號碼（MSISDN）及裝置位置（精確度可達約 0.8 公里），並具備向使用者裝置發送二進位簡訊（binary SMS）的能力。binary SMS 是一種不會顯示在使用者簡訊收件匣、直接由作業系統處理的特殊訊息格式，可用於修改裝置設定、觸發特定應用程式行為，或作為植入惡意程式及維持遠端控制的管道，此類訊息可修改裝置設定或植入惡意程式。部分平台更允許轉售商為使用者裝置分配靜態 Public IP，使裝置可從外部網路直接存取，存在遭遠端惡意連線的風險。

對企業與組織的資安影響

出差人員若以 HRR 架構的旅遊 eSIM 存取網路服務，所有資料流量將途經本籍網路業者的核心設施處理。研究指出，本籍網路在此過程中可完整看到使用者連上了哪些服務、何時連線、從哪個位置連線，以及應用程式的使用情況，本籍網路亦可透過拜訪網路與本籍網路之間的訊號交換，推算使用者的大略位置。即使傳輸層已加密，這些連線層級的後設資料仍可被本籍網路側錄。

研究進一步指出，本籍網路往往是使用者完全不知情的境外第三方業者，使用者難以判斷其通訊資料究竟流經哪個法律管轄區，以及由哪個組織負責管理。部分旅遊 eSIM 的 SM-DP+ 伺服器與本籍網路屬同一境外業者，代表 eSIM 設定檔的下載與管理流程本身亦在該業者的控制範圍內，而非僅限於上網流量。

除上述架構性風險外，研究實測亦發現 eSIM 設定檔管理本身存在設計脆弱性。刪除設定檔時若裝置處於離線狀態，刪除通知將無法送達 SM-DP+ 伺服器，伺服器因此仍視該設定檔為啟用中，使用者以原 QR Code 重新安裝時將收到「已安裝」錯誤而遭拒，須聯繫業者手動重置方可恢復使用。研究亦指出，攻擊者可藉由攔截刪除設定檔過程中的網路連線，使刪除通知無法送達伺服器，進而封鎖使用者重新安裝設定檔的能力（圖1）。

圖1：eSIM 設定檔刪除通知遭攔截示意圖。資料來源（Motallebighomi et al., eSIMplicity or eSIMplification? Privacy and Security Risks in the eSIM Ecosystem, USENIX Security 2025）

防護建議

1. 建立差旅行動上網政策：制定可使用的 eSIM 業者白名單，要求業者揭露合作電信商名稱、IP 出口地區及資料處理地點。對高風險職務人員應禁止使用未經審核的旅遊 eSIM 存取內部資源。「免 VPN 可使用境外服務」通常代表流量透過境外節點達成，不得作為安全評估依據。
2. 出差期間敏感系統存取強制 VPN：存取公務信箱、內部系統或視訊會議時，一律透過企業核准的 VPN 或零信任網路存取（ZTNA，Zero Trust Network Access）架構連線，確保流量經由受控通道傳輸。
3. 監控帳號異常登入並強制多重要素驗證（MFA，Multi-Factor Authentication）：設定境外 IP 登入告警規則，出現中國、香港等地區登入紀錄時立即觸發通報。確認 MFA 已正確啟用，並定期審查登入紀錄。