2 puan yazan GN⁺ 2025-05-18 | 1 yorum | WhatsApp'ta paylaş
  • O2 UK’nin 4G Calling/WiFi Calling uygulamasında, arayan tarafın alıcının konumunu tahmin etmek için kullanabileceği IMS/SIP başlıklarını alması sorunu vardı; bu sızıntı aylar boyunca tüm O2 müşterilerini etkiledi
  • IMS sinyal mesajları, O2’nin IMS/SIP sunucusu Mavenir UAG, sürüm, hata ayıklama bilgileri ve hata mesajlarının yanı sıra arayan ve alıcının IMSI/IMEI bilgilerini ve alıcının Cellular-Network-Info bilgisini içeriyordu
  • Cellular-Network-Info içindeki utran-cell-id-3gpp değeri PLMN, Location Area Code ve Cell ID olarak ayrılıp Cellmapper gibi herkese açık baz istasyonu verileriyle karşılaştırıldığında alıcının yaklaşık konumu bulunabiliyordu
  • Şehirlerde sokak lambaları gibi yerlere kurulan small cell’ler dar alanlara hizmet verdiği için konum tahmin doğruluğu ciddi biçimde artıyor; yurt dışında dolaşımda olan bir O2 müşterisi de Kopenhag şehir merkezine kadar belirlenebiliyordu
  • 4G Calling ve WiFi Calling’in ikisi de kapatılırsa konum sızıntısı engellenebiliyor, ancak IMEI ve IMSI sızıntısı IMS kayıt durumundan bağımsız olarak devam ediyor; bu nedenle O2’nin ilgili başlıkları IMS/SIP mesajlarından kaldırması gerekiyor

IMS aramalarından sızan konum ipuçları

  • Voice over LTE(VoLTE), mobil ağlarda internet tabanlı protokollerle sesli aramaları işlemek için IP Multimedia Subsystem(IMS) standardını kullanır
  • IMS uygulamaları karmaşık ve cihaza bağımlı olduğundan geçmişte VoLTE ve WiFi Calling kullanmak için belirli firmware gerektiren cihazlar da vardı
  • Mobil ağlar IMS hizmetlerini nasıl uygulayacaklarını ve hangi ayarları kullanacaklarını seçer; telefonlar da bu sunucularla doğrudan iletişim kurar
  • Bu yapıda sunucuları güncel tutmak ve ayarların gereksiz veri sızıntısına yol açmamasını yönetmek mobil ağın sorumluluğundadır

O2 UK 4G Calling’i incelerken

  • O2 UK, ilk IMS hizmeti olan 4G Calling’i 27 Mart 2017’de kullanıma sundu
    • Bu hizmet, arama kalitesini iyileştirmeyi ve arama sırasında 3G’ye düşmediği için veri deneyimini geliştirmeyi amaçlıyordu
  • Araştırmacı, O2’ye geçtikten sonra 4G/WiFi Calling’de hangi ses codec’lerinin desteklendiğini kontrol etmek istedi
  • Root edilmiş bir Google Pixel 8’de Network Signal Guru(NSG) kullanarak başka bir O2 müşterisinin 4G VoLTE uyumlu cihazını aradı
  • Yeni Google Pixel’lerdeki Samsung modemde bir NSG hatası nedeniyle mevcut arama codec’i VoLTE bölümünde otomatik görünmedi; bunun yerine cihaz ile ağ arasındaki ham IMS sinyal mesajları incelendi

IMS/SIP mesajlarında yer alan hassas başlıklar

  • Ağ yanıtı, diğer ağlarda görülenlerden farklı olarak çok ayrıntılı ve uzundu
  • Mesajda O2’nin kullandığı IMS/SIP sunucusu Mavenir UAG ve sürüm numarası yer alıyordu
  • Arama bilgilerini işleyen C++ servisinde sorun çıktığında görülen hata mesajları ve diğer hata ayıklama bilgileri de sızıyordu
  • Özellikle mesajın alt kısmına yakın yerde şu tür başlıklar bulunuyordu
    • P-Mav-Extension-IMSI: 2 IMSI
    • P-Mav-Extension-IMEI: 2 IMEI
    • Cellular-Network-Info: alıcının hücre bilgisi
  • IMSI ve IMEI değerleri araştırmacının cihaz bilgileriyle karşılaştırıldığında, yalnızca arayanın değil arama alıcısının IMSI ve IMEI bilgilerinin de yer aldığı görüldü

Cellular-Network-Info ile konum nasıl hesaplanıyor

  • Cellular-Network-Info değerinin başındaki 3GPP-E-UTRAN-FDD, hücre verisinin 4G’ye, resmi adıyla E-UTRAN FDD’ye karşılık geldiğini gösterir
  • Ardından gelen utran-cell-id-3gpp değeri 3 parçaya ayrılır
    • İlk 5–6 hane alıcının ağ PLMN bilgisidir
    • Sonraki 4 karakter alıcının Location Area Code(LAC) değeridir ve onaltılık biçimdedir
    • Son 7 karakter alıcının Cell ID değeridir ve onaltılık biçimdedir
  • Son bölüm, verinin yaşını saniye cinsinden gösterir
    • Cihaz mevcut ağa bağlı değilse, sinyal yoksa veya WiFi Calling’e dayanıyorsa bulunur
  • Örnek mesajda alıcının O2 ağı 234-10’a bağlı olduğu, LAC 0x1003, Cell ID 0x7a60773 üzerinde bulunduğu ve Google Pixel 9 ile O2 SIM kullandığı hesaplanabiliyordu

Herkese açık baz istasyonu verileriyle konum tahmini

  • Cell ID, ilgili site ID’sini hesaplamak için Cellmapper’ın cell ID calculator aracına girilebilir
  • Ardından Cellmapper haritasında ilgili site bulunarak arama anındaki makro hücre görülebilir
  • Makro hücreler nispeten geniş kapsama alanına sahiptir, ancak yoğun şehir bölgelerinde çok sayıda küçük hücre kullanılır
    • small cell’ler doğrudan sokak lambalarına kurulabiliyor
    • Her site 100㎡ kadar küçük bir alanı kapsayabiliyor
  • Aynı saldırı yurt dışında dolaşımda olan başka bir O2 müşterisi üzerinde de test edildi ve kişi Danimarka’nın Kopenhag şehir merkezine kadar belirlenebildi
  • Araştırmacının cihazı ağa özel bir davranışta bulunmadı; yalnızca cihaza gönderilen bilgilerin görüntülenmesini sağladı
  • IMS, yani 4G Calling veya WiFi Calling üzerinden arama yapan O2 cihazları, arama alıcısının coğrafi konumunu tahmin etmek için kullanılabilecek bilgiler alabiliyor

O2’nin kaldırması gereken başlıklar ve kullanıcıların alabileceği önlemler

  • O2, müşterilerinin gizliliğini ve güvenliğini korumak için vurgulanan başlıkları tüm IMS/SIP mesajlarından kaldırmalıdır
  • Hata ayıklama başlıklarını da devre dışı bırakmak mantıklıdır
    • Ağ çekirdeğinin dışındaki hiçbir cihazın bu başlıkları görmesi için bir neden yoktur
    • Hata ayıklama başlıkları ek bilgilerin istemeden sızmasına yol açabilir
  • Rakip EE, BT responsible disclosure kanalı sunuyor; ancak O2’de bu tür potansiyel saldırı vektörlerini bildirmek için net bir eskalasyon yolu yok
  • 26 ve 27 Mart 2025’te O2 CEO’su Lutz Schüler’e ve securityincidents@virginmediao2.co.uk adresine bu davranışı ve gizlilik riskini bildiren e-postalar gönderildi, ancak yanıt alınmadı ve davranışta değişiklik olmadı
  • 4G Calling ve WiFi Calling’in ikisini de kapatmak, konum sızıntısı kısmını etkili biçimde engeller
    • Cellular-Network-Info başlığı yalnızca alıcı cihaz yanıt verdiğinde gönderilir
    • IMEI ve IMSI sızıntısı IMS kayıt durumundan bağımsız olarak devam eder
  • 27 Mayıs 2025 tarihli düzeltmede, başlangıçta konum sızıntısını azaltmanın bir yolu olmadığı belirtilmiş olsa da IMS sinyali ve cihaz başlıklarının gönderilme biçimi daha fazla doğrulandıktan sonra 4G Calling ve WiFi Calling’in ikisinin de kapatılmasının konum sızıntısı kısmını azalttığı şeklinde düzeltilmiştir

1 yorum

 
GN⁺ 2025-05-18
Hacker News yorumları
  • 26-27 Mart 2025’te bu davranışı ve gizlilik riskini O2 CEO’suna ve güvenlik olayı e-posta adresine bildirmelerine rağmen ne yanıt ne de değişiklik gelmemesi gerçekten berbat.
    Virgin Media adresinin neden en iyi iletişim noktasına yakın olduğu da ayrı bir soru; https://www.o2.co.uk/.well-known/security.txt 404 değil, 200 döndürmeli.
    Bu durumda bunu kamuya açıklamakta sorun görmüyorum, ama NCSC belirli koşullarda böyle konularla ilgilenebilir ve kuruluşla daha iyi iletişim kurabilir diye düşünüyorum.

    • Bu aslında bizim taraftan bir hataydı.
      İletişime geçilen e-posta @virginmedia.co.uk değil, @virginmediao2.co.uk idi; yazıda bir yazım hatası vardı.
      Düzelterek güncelleyeceğiz.
    • GDPR gereklilikleri nedeniyle gizlilik politikasında birden fazla e-posta adresi yer alıyor.
      Örneğin DPO@o2.com gibi bir yerleri birileri takip ediyor olabilir.
      https://www.o2.co.uk/termsandconditions/privacy-policy
  • O2’de eskiden sorumlu açıklama için bir adres vardı, ama birkaç yıl önce kaldırdılar.
    Uzun zaman önce orada çalışırken güvenlik ekibi harikaydı; geçen yıl bir sorun için e-posta gönderdiğimde o insanların hepsi ortadan kaybolmuştu.

    • O2 içindeki ilgili ekibin gerçekten bilgilendirildiğini biliyorum, ancak sonuçta hiçbir işlem yapılmamış ya da yeterli olmamış gibi görünüyor.
  • Bu konuda asıl ilginç nokta, çoğu yargı alanında bunun muhtemelen hackleme olarak bile sınıflandırılmayacak olması.
    Veri, ağda normal kullanım sırasında gönüllü olarak iletiliyor.
    Hiçbir sistem kişisel verileri açığa çıkarması için kandırılmıyor; böyle bir eylem, hackleme önemsiz düzeyde olsa bile çoğu zaman yasa dışıdır.
    URL’ye &reveal_privat_data=true gibi bir şey eklemek bile erişim yetkiniz olmayan verilere erişmeye yönelik açık bir niyet gösterdiği için yasa dışı sayılabilir; ama bu durumda o bile yok.

    • Yine de bu bir veri sızıntısı ve düzenleme Birleşik Krallık’taysa derhal denetleyici kuruma bildirilmesi gerekir; bildirilmezse para cezası vb. sonuçlar doğurur.
    • Birleşik Krallık’taki Computer Misuse Act’in ne kadar geniş uygulandığını pek bilmiyor gibisin.
  • Korkutucu olan, bunun teorik bir hata olmaması.
    Yazıda da belirtildiği gibi, diğer Birleşik Krallık operatörlerinin çoktan çözdüğü bir uygulama tembelliği ve ECI sızıntısı LTE’nin devreye alınmasından beri dile getiriliyor.
    https://arxiv.org/abs/2106.05007—and gibi makaleler de var; herkese açık baz istasyonu veritabanları varsa otomatik konum eşlemesi de önemsiz bir iş.

    • Bunu kullanagelen güvenlik kurumlarının ne yapmalarını söyleyeceğini bekleyerek panik halinde olmaları mümkün.
  • Arayan kişinin çağrı kontrol mesajlarını, yani SIP’i nasıl görebildiğini de çok merak ediyorum.
    Bu mesajlar uç cihaz, baz istasyonu ve MME arasındaki şifreli GRE tünelinin içinde değil mi? GRE tünelinin şifresini çözebiliyorlarsa bu devasa bir açık olurdu; ama muhtemelen özgün yazının yazarı analizi kendi cihazında çalıştırdığı için mümkün oluyor.
    Yine de şifreleme öncesi yükün görülebilmesi şaşırtıcı.

    • Yazının editörüyüm.
      Qualcomm çipli birçok Android cihaz, USB üzerinden modem tanılama portunu açığa çıkarabiliyor; root’lu bir cihaza bile gerek yok.
      Yine de dizüstü bilgisayar taşımaktansa cihazda root’lu NSG kullanmak çok daha kolay.
      Modem tanılama portunu açtıktan sonra Scat(https://github.com/fgsect/scat) kullanırsanız, ağla gidip gelen tüm sinyal trafiğini görebilecek kadar basit.
    • Root’lu bir Android telefon ve Network Signal Guru adlı bir uygulama kullanıyorum: https://play.google.com/store/apps/details?id=com.qtrun.Quic...
      En azından ücretsiz sürüm uygulama bir şeyi “şifresini çözüyor” gibi görünmüyor; ama root yetkisi ve modem erişimi olduğu için bu günlükleri okuyabiliyor.
      Bantları kapatmayı veya belirli bir baz istasyonuna sabitlemeyi denemek de mümkün; bu yüzden mobil veriyi, özel 4G/5G yönlendirici gibi ana internet hattı olarak kullanmak istediğiniz durumlarda faydalı.
    • Birçok operatör VoLTE için SIP sinyallemesinin, P-CSCF’de sonlanan IPsec taşımasını kullanacak şekilde yapılandırır; ancak çoğu veya hepsi IPsec’i yalnızca bütünlük koruması için yapılandırıyor.
    • Sanırım demek istediğin GRE değil, GTP tüneli.
      GTP tüneli eNodeB ile çekirdek ağ arasındadır ve yalnızca IPsec içinde çalıştığında korunur.
    • Düzeltme: GTP.
  • O2 artık sorunun çözüldüğünü iddia ediyor: https://www.ispreview.co.uk/index.php/2025/05/o2-uk-fixes-vo...

    • Gönderilen yazı bu sabah güncellendi.
      İçeriği şu: “O2 e-postayla iletişime geçerek bu sorunun çözüldüğünü doğruladı. Kendim doğruladım ve güvenlik açığı giderilmiş görünüyor.”
    • Açıklamada “mühendislik ekibinin birkaç haftadır düzeltme üzerinde çalışıp test ettiği” söylendi.
      Bu kadar hassas verileri içeren bir veritabanının böyle bir süre boyunca, üstelik görünüşe göre kimseye haber verilmeden, kasıtlı olarak savunmasız bırakıldığını hayal edin.
      ICO’nun bunu nasıl ele alacağını görmek ilginç olacak.
  • Oldukça ciddi bir sorun gibi görünüyor
    Telefonu rootlayıp NSG kurduktan sonra bu bilgiyi görmek zor değil
    O2 aynı zamanda Birleşik Krallık’ın en büyük mobil şebekesi ve hükümetle de sözleşmeleri var
    Yanıt vermemeleri hayal kırıklığı yaratıyor ama şaşırtıcı değil
    O2’nin içi karmakarışık gibi görünüyor; mağazada birinin hemen düzeltemeyeceği işler uzun sürede çözülüyor
    Örneğin numara taşıma hataları gibi şeyler
    Sistemler eski görünüyor, bazı kullanıcı grupları hâlâ VoLTE kullanamıyor; yeni 5G SA ise sesi desteklemiyor ve n28’e aşırı bağımlı göründüğünden çoğu durumda yavaş
    CTO, genelde veri performansında en kötü şebeke olmalarına rağmen blogunda “kibir metriklerini geride bırakalım” diye yazmış
    [0] https://news.virginmediao2.co.uk/leaving-the-vanity-metrics-...

    • AB dolaşım ücreti almamalarının gerçek nedeninin, ücretlendirecek sisteme sahip olmamaları olabileceğini düşünmeye başladım
  • O2’nin hâlâ nasıl faaliyet göstermeye devam ettiğini bilmiyorum
    Açık ara en kötü şebeke; berbat backhaul durumuna sahip Three bile daha iyi
    EE SIM kartımın yanında O2 SIM kartı taşımamın tek nedeni Priority biletleri ve O2 etkinlik mekânlarının içindeki çekim gücü

    • 5G Standalone ağına erişebiliyorsanız çok daha iyi oluyor
      Ancak yeni bir SIM ve uyumlu bir telefon gerekiyor; hissedilen fark bambaşka
  • O2 ağını kullanan giffgaff, O2’nin fiziksel ağı üzerinde kendi hizmet uygulamasını kullandığı için etkilenmediğini iddia ediyor
    Doğru olabilir ama artık aynı şirkete ait olduklarını bildiğim için entegrasyon ihtimali yüksek görünüyor; bu yüzden biraz şüpheliyim
    giffgaff SIM ile bunu yeniden üreten biri varsa sonucu öğrenmek isterim

    • Telefónica çok uzun zamandır sahibiydi
      Hatırladığım kadarıyla Telefónica O2’yi 2006’da satın aldı, 2009’da da Giffgaff’ı yeni bir marka olarak başlattı
    • giffgaff ağında test ettim ve gerçekten etkileniyor
      Nasıl farklı bir sonuca vardıklarını bilmiyorum
  • VoLTE’yi kapatmak bunu hafifletebilir mi? iPhone 11’de kapatmaya dair çevrim içi belgeler gördüm ama benim iPhone 15’imde o seçenek yok

    • “4G Calling’i kapatmak bu başlığın açığa çıkmasını engellemez; cihaz bağlantı kuramaz hale gelirse iç başlık son bağlanılan hücreyi ve üzerinden ne kadar zaman geçtiğini göstermeye devam eder” deniyor
      Bu yüzden işe yarayacağını sanmıyorum
    • O2 UK’nin can sıkıcı yanlarından biri, eski ön ödemeli müşterilere VoLTE desteği vermeyip yalnızca aylık abonelere vermesi; ama şu an bu durum biraz da olsa sevindirici gibi