Hvorfor får nettsteder ditt mobiltelefonnummer?

Collin Mulliner, forsker ved Technische Universitaet Berlin, Group for Security in Telecommunications, mener leverandører av mobiltelefon-tjenester leverer personlig merkbar informasjon som MSISDN, IMSI og IMEI i HTTP-trafikk som blir sendt til nettsteder.

Det startet for flere år siden da Collin leste at mobiltelefoner lekker private data via HTTP-headere - men forfatteren ga ingen bevis. Det passet ikke bra med Collin, så han tok på seg å bevise eller motbevise påstandene. Han forklarer hvordan han ble involvert.

Mulliner : I løpet av 2008, mens jeg arbeidet med Mobile Web and Wireless Access Protocol (WAP), snublet jeg over et forum der folk diskuterte muligheten for lekkasjer. Ingen kunne gjøre seg opp en mening om dette skjedde eller ikke. Så jeg begynte å undersøke.

Jeg er vert for et nettsted der folk kan laste ned spill for Java 2 Micro Edition-plattformen. Det er populært nok at et mobilspillnettsted innebærer skjermbilder av spillene mine. Så hver gang en besøkende laster inn en relevant side på spillnettstedet, sendes en forespørsel til webserveren min - og gir mye relevant trafikk. Alt jeg måtte gjøre var å legge loggføring for å se om meldingene om lekkasje var sanne.

Kassner: Collin, du samlet forskningen din i en artikkel. Hva var de viktigste snakkepunktene dine? Mulliner : Det var tre:
  • Privat data lekkes av mobiloperatører over hele verden.
  • Alle som eier et nettsted som er tilgjengelig fra en mobiltelefon, har muligheten til å samle inn personlig informasjon om den mobile besøkende.
  • Denne type lekkasje har ikke fått noen oppmerksomhet før nå; ingen visste hva de skulle se etter.
Kassner : Du spesifiserer at telefonens MSISDN, IMSI og IMEI blir lekket. Hvorfor er det å slippe denne informasjonen som er en dårlig ting? Mulliner : MSISDN er direkte knyttet til personen som eier telefonen. Hvis MSISDN er kjent:
  • Det blir mulig å finne eierens navn - ikke bra hvis nettstedet er skadelig.
  • Det blir mulig å sende SMS-meldinger til besøkende - av spam eller ondsinnede grunner.

Alle tre verdiene kan brukes til å spore enkeltpersoner på tvers av nettsteder, der MSISDN er den viktigste. Det endres sjelden, selv når en ny telefon er kjøpt. De fleste ønsker å beholde samme nummer for enkelhets skyld.

Kassner : Oppgaven oppgir at sensitiv informasjon blir lekket av mobiloperatørene. Hvordan kom du til den konklusjonen? Mulliner : En mobiltelefon lagrer ikke alle dataene som vises i de forskjellige topptekstene - abonnentnummer (X-UP-SUBNO), for eksempel.

Jeg har heller ikke fanget opp noen loggoppføringer som viser MSISDN fra smarte telefoner som iPhone eller Android-baserte telefoner. Det er mest sannsynlig fordi ingen av telefonene vanligvis bruker HTTP-proxy som standard; den eneste mulige forklaringen var at HTTP / WAP-fullmakter la til de relevante HTTP-overskriftene.

Følgende lysbilde er en graf som sammenligner antall fangede mobiltelefoner MSISDN per land.

Kassner : Jeg la merke til at forskningen din ble utført i 2010. Hvorfor blir den først nå omtalt av teknisk-media utsalgssteder? Mulliner : Forskningen min var av nyere interesse fordi noen fyr i Storbritannia fant ut at mobiltjenesteleverandøren O2 lekket MSISDN-er til nettsteder. Så folk begynte å undersøke årsaken til dette og fant ut at jeg allerede hadde gjort omfattende studier om emnet.

Hvorfor sende MSISDN?

Jeg prøver å forstå hvorfor et nettsted måtte trenge mobilnummeret mitt, og hvis de gjorde det, hvorfor ikke be om det direkte på websiden. Slik svarte O2 på et lignende spørsmål på nettstedet deres:

"Hver gang du surfer på et nettsted (via mobil eller skrivebord), overføres viss teknisk informasjon om maskinen du bruker, til nettstedseiere. Dette skjer på Internett, og gjør det mulig for nettstedseiere å optimalisere nettstedet du ser.

Når du blar fra en O2-mobil, legger vi til brukerens mobilnummer til denne tekniske informasjonen, men bare med visse pålitelige partnere. Dette er standard bransjepraksis. Vi deler mobilnumre med utvalgte pålitelige partnere av tre grunner:

  • For å administrere aldersbekreftelse, som administrerer tilgang til voksent innhold.
  • For å gjøre det mulig for tredjeparts innholdspartnere å fakturere premiuminnhold, for eksempel nedlastinger eller ringetoner som kunden har kjøpt.
  • For å identifisere kunder som bruker O2-tjenester, for eksempel My O2 og Priority Moments. "
Kassner : En ting jeg er uklar på er om informasjonen blir gitt til alle nettsteder eller om nettstedet trenger å be om de spesifikke HTTP-headere. I begge tilfeller har ikke personen som bruker telefonen peiling.

For å hjelpe i den forbindelse opprettet Collin en nettbasert app som avgjør om en mobiltelefon / tjenestekombinasjon lekker data. Her er hans beskrivelse av hvordan det fungerer.

Mulliner : Min testwebside (skriv inn URL-en i din mobile nettleser) fanger opp alle HTTP-overskrifter som blir sendt til den. Back-end server-appen sammenligner disse topptekstene med de i en database jeg har opprettet. Hvis den finner en topptekst av interesse, vil appen legge inn overskriften og gi et visuelt varsel. Grønt betyr at overskriften ikke lekker informasjon og rød betyr at den er. Kassner : Jeg har tatt med et lysbilde fra presentasjonen din.

Vil du beskrive hva vi ser på?

Mulliner : Lysbildet indikerer at den tilkoblede mobile enheten lekker privat informasjon. I dette tilfellet lekker mobiltelefonnummeret gjennom HTTP-overskriften "X-UP-CALLING-LINE-ID". Kassner : Jeg har besøkt hjemmesiden din. Du er produktiv når det gjelder å undersøke mobilenhetssikkerhet. Har du noe annet du vil at leserne skal vite om? Mulliner : Mobile enheter deler mange sikkerhetsproblemer med tradisjonelle dataenheter - så de samme sunn fornuftstilnærmingene gjelder. Noen hint som er spesifikke for mobile enheter vil være:
  • Ikke ring tilbake rare telefonnumre som ser ut til å ha ringt deg.
  • Sjekk faktisk de forespurte tillatelsene når du installerer applikasjoner.

De fleste applikasjoner og spill bør ikke kreve tilgang til telefonfunksjonaliteten - ingen grunn til å ringe eller sende SMS-meldinger. Denne funksjonaliteten vil bare bli forespurt av veldig spesielle applikasjoner eller malware.

Siste tanker

Hvorvidt informasjon som er personlig å se på - MSISDN, IMSI og IMIE - legges til eller ikke, ser ut til å bli bestemt av mobiltjenesteleverandøren, og deretter injisert oppstrøms mobilenheten - to konsepter jeg ikke var klar over.

Med Collins hjelp er jeg det nå, og mitt håp er at du også er det.

Oppdatering : Jeg var forvirret over hvilke telefonmodeller som ble berørt av dette. Så spurte jeg Collin. Han svarte:

"Det handler ikke om den typen telefon, men hvis operatøren bruker en gjennomsiktig proxy."

Det virker som om brukeren er på mobiltjenesteoperatøren.

© Copyright 2021 | pepebotifarra.com