O2 VoLTE, tek bir aramayla tüm müşterilerin konumunu izlemeyi mümkün kılıyordu
(mastdatabase.co.uk)- O2 UK’nin 4G Calling/WiFi Calling uygulamasında, arayan tarafın alıcının konumunu tahmin etmek için kullanabileceği IMS/SIP başlıklarını alması sorunu vardı; bu sızıntı aylar boyunca tüm O2 müşterilerini etkiledi
- IMS sinyal mesajları, O2’nin IMS/SIP sunucusu Mavenir UAG, sürüm, hata ayıklama bilgileri ve hata mesajlarının yanı sıra arayan ve alıcının IMSI/IMEI bilgilerini ve alıcının
Cellular-Network-Infobilgisini içeriyordu Cellular-Network-Infoiçindekiutran-cell-id-3gppdeğeri PLMN, Location Area Code ve Cell ID olarak ayrılıp Cellmapper gibi herkese açık baz istasyonu verileriyle karşılaştırıldığında alıcının yaklaşık konumu bulunabiliyordu- Şehirlerde sokak lambaları gibi yerlere kurulan small cell’ler dar alanlara hizmet verdiği için konum tahmin doğruluğu ciddi biçimde artıyor; yurt dışında dolaşımda olan bir O2 müşterisi de Kopenhag şehir merkezine kadar belirlenebiliyordu
- 4G Calling ve WiFi Calling’in ikisi de kapatılırsa konum sızıntısı engellenebiliyor, ancak IMEI ve IMSI sızıntısı IMS kayıt durumundan bağımsız olarak devam ediyor; bu nedenle O2’nin ilgili başlıkları IMS/SIP mesajlarından kaldırması gerekiyor
IMS aramalarından sızan konum ipuçları
- Voice over LTE(VoLTE), mobil ağlarda internet tabanlı protokollerle sesli aramaları işlemek için IP Multimedia Subsystem(IMS) standardını kullanır
- IMS uygulamaları karmaşık ve cihaza bağımlı olduğundan geçmişte VoLTE ve WiFi Calling kullanmak için belirli firmware gerektiren cihazlar da vardı
- Mobil ağlar IMS hizmetlerini nasıl uygulayacaklarını ve hangi ayarları kullanacaklarını seçer; telefonlar da bu sunucularla doğrudan iletişim kurar
- Bu yapıda sunucuları güncel tutmak ve ayarların gereksiz veri sızıntısına yol açmamasını yönetmek mobil ağın sorumluluğundadır
O2 UK 4G Calling’i incelerken
- O2 UK, ilk IMS hizmeti olan 4G Calling’i 27 Mart 2017’de kullanıma sundu
- Bu hizmet, arama kalitesini iyileştirmeyi ve arama sırasında 3G’ye düşmediği için veri deneyimini geliştirmeyi amaçlıyordu
- Araştırmacı, O2’ye geçtikten sonra 4G/WiFi Calling’de hangi ses codec’lerinin desteklendiğini kontrol etmek istedi
- Root edilmiş bir Google Pixel 8’de Network Signal Guru(NSG) kullanarak başka bir O2 müşterisinin 4G VoLTE uyumlu cihazını aradı
- Yeni Google Pixel’lerdeki Samsung modemde bir NSG hatası nedeniyle mevcut arama codec’i VoLTE bölümünde otomatik görünmedi; bunun yerine cihaz ile ağ arasındaki ham IMS sinyal mesajları incelendi
IMS/SIP mesajlarında yer alan hassas başlıklar
- Ağ yanıtı, diğer ağlarda görülenlerden farklı olarak çok ayrıntılı ve uzundu
- Mesajda O2’nin kullandığı IMS/SIP sunucusu Mavenir UAG ve sürüm numarası yer alıyordu
- Arama bilgilerini işleyen C++ servisinde sorun çıktığında görülen hata mesajları ve diğer hata ayıklama bilgileri de sızıyordu
- Özellikle mesajın alt kısmına yakın yerde şu tür başlıklar bulunuyordu
P-Mav-Extension-IMSI: 2 IMSIP-Mav-Extension-IMEI: 2 IMEICellular-Network-Info: alıcının hücre bilgisi
- IMSI ve IMEI değerleri araştırmacının cihaz bilgileriyle karşılaştırıldığında, yalnızca arayanın değil arama alıcısının IMSI ve IMEI bilgilerinin de yer aldığı görüldü
Cellular-Network-Info ile konum nasıl hesaplanıyor
Cellular-Network-Infodeğerinin başındaki3GPP-E-UTRAN-FDD, hücre verisinin 4G’ye, resmi adıyla E-UTRAN FDD’ye karşılık geldiğini gösterir- Ardından gelen
utran-cell-id-3gppdeğeri 3 parçaya ayrılır- İlk 5–6 hane alıcının ağ PLMN bilgisidir
- Sonraki 4 karakter alıcının Location Area Code(LAC) değeridir ve onaltılık biçimdedir
- Son 7 karakter alıcının Cell ID değeridir ve onaltılık biçimdedir
- Son bölüm, verinin yaşını saniye cinsinden gösterir
- Cihaz mevcut ağa bağlı değilse, sinyal yoksa veya WiFi Calling’e dayanıyorsa bulunur
- Örnek mesajda alıcının O2 ağı
234-10’a bağlı olduğu, LAC0x1003, Cell ID0x7a60773üzerinde bulunduğu ve Google Pixel 9 ile O2 SIM kullandığı hesaplanabiliyordu
Herkese açık baz istasyonu verileriyle konum tahmini
- Cell ID, ilgili site ID’sini hesaplamak için Cellmapper’ın cell ID calculator aracına girilebilir
- Ardından Cellmapper haritasında ilgili site bulunarak arama anındaki makro hücre görülebilir
- Makro hücreler nispeten geniş kapsama alanına sahiptir, ancak yoğun şehir bölgelerinde çok sayıda küçük hücre kullanılır
- small cell’ler doğrudan sokak lambalarına kurulabiliyor
- Her site 100㎡ kadar küçük bir alanı kapsayabiliyor
- Aynı saldırı yurt dışında dolaşımda olan başka bir O2 müşterisi üzerinde de test edildi ve kişi Danimarka’nın Kopenhag şehir merkezine kadar belirlenebildi
- Araştırmacının cihazı ağa özel bir davranışta bulunmadı; yalnızca cihaza gönderilen bilgilerin görüntülenmesini sağladı
- IMS, yani 4G Calling veya WiFi Calling üzerinden arama yapan O2 cihazları, arama alıcısının coğrafi konumunu tahmin etmek için kullanılabilecek bilgiler alabiliyor
O2’nin kaldırması gereken başlıklar ve kullanıcıların alabileceği önlemler
- O2, müşterilerinin gizliliğini ve güvenliğini korumak için vurgulanan başlıkları tüm IMS/SIP mesajlarından kaldırmalıdır
- Hata ayıklama başlıklarını da devre dışı bırakmak mantıklıdır
- Ağ çekirdeğinin dışındaki hiçbir cihazın bu başlıkları görmesi için bir neden yoktur
- Hata ayıklama başlıkları ek bilgilerin istemeden sızmasına yol açabilir
- Rakip EE, BT responsible disclosure kanalı sunuyor; ancak O2’de bu tür potansiyel saldırı vektörlerini bildirmek için net bir eskalasyon yolu yok
- 26 ve 27 Mart 2025’te O2 CEO’su Lutz Schüler’e ve
securityincidents@virginmediao2.co.ukadresine bu davranışı ve gizlilik riskini bildiren e-postalar gönderildi, ancak yanıt alınmadı ve davranışta değişiklik olmadı - 4G Calling ve WiFi Calling’in ikisini de kapatmak, konum sızıntısı kısmını etkili biçimde engeller
Cellular-Network-Infobaşlığı yalnızca alıcı cihaz yanıt verdiğinde gönderilir- IMEI ve IMSI sızıntısı IMS kayıt durumundan bağımsız olarak devam eder
- 27 Mayıs 2025 tarihli düzeltmede, başlangıçta konum sızıntısını azaltmanın bir yolu olmadığı belirtilmiş olsa da IMS sinyali ve cihaz başlıklarının gönderilme biçimi daha fazla doğrulandıktan sonra 4G Calling ve WiFi Calling’in ikisinin de kapatılmasının konum sızıntısı kısmını azalttığı şeklinde düzeltilmiştir
1 yorum
Hacker News yorumları
26-27 Mart 2025’te bu davranışı ve gizlilik riskini O2 CEO’suna ve güvenlik olayı e-posta adresine bildirmelerine rağmen ne yanıt ne de değişiklik gelmemesi gerçekten berbat.
Virgin Media adresinin neden en iyi iletişim noktasına yakın olduğu da ayrı bir soru; https://www.o2.co.uk/.well-known/security.txt 404 değil, 200 döndürmeli.
Bu durumda bunu kamuya açıklamakta sorun görmüyorum, ama NCSC belirli koşullarda böyle konularla ilgilenebilir ve kuruluşla daha iyi iletişim kurabilir diye düşünüyorum.
İletişime geçilen e-posta @virginmedia.co.uk değil, @virginmediao2.co.uk idi; yazıda bir yazım hatası vardı.
Düzelterek güncelleyeceğiz.
Örneğin DPO@o2.com gibi bir yerleri birileri takip ediyor olabilir.
https://www.o2.co.uk/termsandconditions/privacy-policy
O2’de eskiden sorumlu açıklama için bir adres vardı, ama birkaç yıl önce kaldırdılar.
Uzun zaman önce orada çalışırken güvenlik ekibi harikaydı; geçen yıl bir sorun için e-posta gönderdiğimde o insanların hepsi ortadan kaybolmuştu.
Bu konuda asıl ilginç nokta, çoğu yargı alanında bunun muhtemelen hackleme olarak bile sınıflandırılmayacak olması.
Veri, ağda normal kullanım sırasında gönüllü olarak iletiliyor.
Hiçbir sistem kişisel verileri açığa çıkarması için kandırılmıyor; böyle bir eylem, hackleme önemsiz düzeyde olsa bile çoğu zaman yasa dışıdır.
URL’ye
&reveal_privat_data=truegibi bir şey eklemek bile erişim yetkiniz olmayan verilere erişmeye yönelik açık bir niyet gösterdiği için yasa dışı sayılabilir; ama bu durumda o bile yok.Korkutucu olan, bunun teorik bir hata olmaması.
Yazıda da belirtildiği gibi, diğer Birleşik Krallık operatörlerinin çoktan çözdüğü bir uygulama tembelliği ve ECI sızıntısı LTE’nin devreye alınmasından beri dile getiriliyor.
https://arxiv.org/abs/2106.05007—and gibi makaleler de var; herkese açık baz istasyonu veritabanları varsa otomatik konum eşlemesi de önemsiz bir iş.
Arayan kişinin çağrı kontrol mesajlarını, yani SIP’i nasıl görebildiğini de çok merak ediyorum.
Bu mesajlar uç cihaz, baz istasyonu ve MME arasındaki şifreli GRE tünelinin içinde değil mi? GRE tünelinin şifresini çözebiliyorlarsa bu devasa bir açık olurdu; ama muhtemelen özgün yazının yazarı analizi kendi cihazında çalıştırdığı için mümkün oluyor.
Yine de şifreleme öncesi yükün görülebilmesi şaşırtıcı.
Qualcomm çipli birçok Android cihaz, USB üzerinden modem tanılama portunu açığa çıkarabiliyor; root’lu bir cihaza bile gerek yok.
Yine de dizüstü bilgisayar taşımaktansa cihazda root’lu NSG kullanmak çok daha kolay.
Modem tanılama portunu açtıktan sonra Scat(https://github.com/fgsect/scat) kullanırsanız, ağla gidip gelen tüm sinyal trafiğini görebilecek kadar basit.
En azından ücretsiz sürüm uygulama bir şeyi “şifresini çözüyor” gibi görünmüyor; ama root yetkisi ve modem erişimi olduğu için bu günlükleri okuyabiliyor.
Bantları kapatmayı veya belirli bir baz istasyonuna sabitlemeyi denemek de mümkün; bu yüzden mobil veriyi, özel 4G/5G yönlendirici gibi ana internet hattı olarak kullanmak istediğiniz durumlarda faydalı.
GTP tüneli eNodeB ile çekirdek ağ arasındadır ve yalnızca IPsec içinde çalıştığında korunur.
O2 artık sorunun çözüldüğünü iddia ediyor: https://www.ispreview.co.uk/index.php/2025/05/o2-uk-fixes-vo...
İçeriği şu: “O2 e-postayla iletişime geçerek bu sorunun çözüldüğünü doğruladı. Kendim doğruladım ve güvenlik açığı giderilmiş görünüyor.”
Bu kadar hassas verileri içeren bir veritabanının böyle bir süre boyunca, üstelik görünüşe göre kimseye haber verilmeden, kasıtlı olarak savunmasız bırakıldığını hayal edin.
ICO’nun bunu nasıl ele alacağını görmek ilginç olacak.
Oldukça ciddi bir sorun gibi görünüyor
Telefonu rootlayıp NSG kurduktan sonra bu bilgiyi görmek zor değil
O2 aynı zamanda Birleşik Krallık’ın en büyük mobil şebekesi ve hükümetle de sözleşmeleri var
Yanıt vermemeleri hayal kırıklığı yaratıyor ama şaşırtıcı değil
O2’nin içi karmakarışık gibi görünüyor; mağazada birinin hemen düzeltemeyeceği işler uzun sürede çözülüyor
Örneğin numara taşıma hataları gibi şeyler
Sistemler eski görünüyor, bazı kullanıcı grupları hâlâ VoLTE kullanamıyor; yeni 5G SA ise sesi desteklemiyor ve n28’e aşırı bağımlı göründüğünden çoğu durumda yavaş
CTO, genelde veri performansında en kötü şebeke olmalarına rağmen blogunda “kibir metriklerini geride bırakalım” diye yazmış
[0] https://news.virginmediao2.co.uk/leaving-the-vanity-metrics-...
O2’nin hâlâ nasıl faaliyet göstermeye devam ettiğini bilmiyorum
Açık ara en kötü şebeke; berbat backhaul durumuna sahip Three bile daha iyi
EE SIM kartımın yanında O2 SIM kartı taşımamın tek nedeni Priority biletleri ve O2 etkinlik mekânlarının içindeki çekim gücü
Ancak yeni bir SIM ve uyumlu bir telefon gerekiyor; hissedilen fark bambaşka
O2 ağını kullanan giffgaff, O2’nin fiziksel ağı üzerinde kendi hizmet uygulamasını kullandığı için etkilenmediğini iddia ediyor
Doğru olabilir ama artık aynı şirkete ait olduklarını bildiğim için entegrasyon ihtimali yüksek görünüyor; bu yüzden biraz şüpheliyim
giffgaff SIM ile bunu yeniden üreten biri varsa sonucu öğrenmek isterim
Hatırladığım kadarıyla Telefónica O2’yi 2006’da satın aldı, 2009’da da Giffgaff’ı yeni bir marka olarak başlattı
Nasıl farklı bir sonuca vardıklarını bilmiyorum
VoLTE’yi kapatmak bunu hafifletebilir mi? iPhone 11’de kapatmaya dair çevrim içi belgeler gördüm ama benim iPhone 15’imde o seçenek yok
Bu yüzden işe yarayacağını sanmıyorum