O2 VoLTE: Tek Bir Aramayla Tüm Müşterilerin Konumu Takip Edilebiliyor

 (mastdatabase.co.uk)
2 puan yazan GN⁺ 2025-05-18 | 1 yorum | WhatsApp'ta paylaş
  • O2 UK'nin VoLTE (4G Calling) hizmetinde, görüşülen kişinin konum bilgisi ve cihaz tanımlayıcısının gönderildiği ortaya çıktı
  • IMS sinyal mesajlarında IMSI, IMEI, Cell ID gibi hassas bilgiler yer alıyor ve bunlar dışarıdan kolayca alınabiliyor
  • Herkese açık kitle kaynaklı veriler (cellmapper.net vb.) kullanılarak bu bilgilerle doğru konum tespiti yapılabiliyor
  • Bu zafiyet tüm O2 müşterileri için geçerli olduğundan herkes potansiyel hedef durumunda
  • Kullanıcıların veya sıradan müşterilerin bu bilgi sızıntısını engellemek için kullanabileceği ayrı bir yöntem yok

Giriş

  • Voice over LTE (VoLTE), mobil ağlarda internet tabanlı protokoller kullanarak sesli aramayı mümkün kılan bir teknolojidir
  • VoLTE'de kullanılan IP Multimedia Subsystem (IMS), karmaşıklığı ve cihazlar arası etkileşim sorunları nedeniyle güvenlik riskleri doğurabilir
  • Her operatör IMS sunucu yapılandırmasını ve hizmet uygulama biçimini kendine özgü şekilde seçebildiği için, yanlış yapılandırma durumunda veri sızıntısı riski vardır
  • Bu yazı, O2 UK'nin bu tür güvenlik kaygılarını pratikte nasıl ortaya çıkardığını inceliyor

O2 UK'nin IMS/VoLTE hizmet durumu

  • 27 Mart 2017'de O2 UK, 4G Calling adlı ilk IMS tabanlı hizmetini başlatarak aramalar sırasında daha iyi ses kalitesi ve veri kullanım deneyimi sundu
  • Yazar, arama kalitesini ölçmek için root'lu bir Google Pixel 8 üzerinde Network Signal Guru (NSG) uygulamasını kullandı
  • Uygulamanın sınırlamaları nedeniyle, aramalar sırasında değiş tokuş edilen ayrıntılı bilgileri görmek için ham IMS sinyal mesajlarını doğrudan analiz etti

Sinyal mesajlarındaki sorunlar

  • O2 UK'nin IMS sinyal yanıtları, diğer operatörlerden farklı olarak son derece ayrıntılı ve uzun bilgiler içeriyor
  • IMS/SIP sunucu bilgileri, sürümler, hatalar ve debug log'larıyla birlikte aşağıdaki hassas başlıklar da yer alıyor
    • İki çift IMSI, iki çift IMEI
    • Cellular-Network-Info: alıcının ağı, konum kodu, hücre kimliği vb.
  • Mesaj içindeki IMSI, IMEI ve Cell ID değerleri karşılaştırıldığında, arama yapılan kişinin (alıcının) bilgilerinin de dahil olduğu doğrulandı

Cell ID ile konum takibi

  • Cellular-Network-Info başlığı çözüldüğünde alıcının operatörü, konum alanı kodu (LAC) ve Cell ID ortaya çıkıyor
  • Bu Cell ID, cellmapper.net gibi servislere girilerek baz istasyonunun konumu doğru şekilde tespit edilebiliyor
  • Şehir gibi yoğun bölgelerde baz istasyonu kapsama alanı 100m²'nin altına kadar dar olabildiğinden, nispeten çok hassas konum tespiti mümkün oluyor
  • O2 müşterisi yurt dışı dolaşımdayken bile bu yöntemin çalıştığı ve şehir merkezine kadar konum doğrulaması yapılabildiği gösterildi
  • Bu bilgiler, özel ekipman veya prosedür gerekmeksizin, IMS araması yapabilen tüm O2 cihazlarında açığa çıkıyor

İyileştirme gereksinimleri

  • O2'nin, müşterilerin gizliliğini ve güvenliğini korumak için IMS/SIP mesajlarından hassas başlıkları (konum ve cihaz bilgileri) kaldırması gerekiyor
  • Debug amaçlı başlıklar da gereksiz bilgi sızıntısına yol açabildiğinden devre dışı bırakılmalı
  • Ağ çekirdeği dışındaki cihazlarda bu tür başlıkların görünmesi mantıksız
  • O2'nin iç güvenlik açıkları için bir bildirim kanalına sahip olmaması, diğer operatörlere kıyasla (ör. EE) ciddi bir sorun

Sonuç

  • O2 müşterileri, temel mobil ağ bilgisine sahip herhangi biri tarafından hassas konum bilgileri dahil takip edilme riski taşıyor
  • Kullanıcı 4G Calling'i kapatsa bile hassas bilgi sızıntısı durmadığından bunu kendi başına önlemesi mümkün değil
  • Cihaz ağa bağlı olmasa bile son bağlanılan hücre ve bağlantı zamanı bilgisi IMS mesajlarında kalmaya devam ediyor
  • 26–27 Mart 2025 tarihlerinde O2 ile ilgili güvenlik sorumlularına ve CEO'ya bu durum ve riskler e-postayla birkaç kez iletilmiş olsa da kayda değer bir yanıt veya iyileştirme yok

Referans

Değişiklik geçmişi

  • 18 Mayıs 2025 23:40 itibarıyla, ilk yazıdaki O2 güvenlik bildirim e-posta adresinin yanlış yazımı düzeltildi (virginmedia.co.ukvirginmediao2.co.uk)

İlgili okumalar

1 yorum

 
GN⁺ 2025-05-18
Hacker News görüşleri
  • 26 ve 27 Mart 2025'te O2'ye e-postayla bu davranış ve gizlilik riskini bildirdim, ancak hâlâ bir yanıt ya da değişiklik yok; gerçekten hayal kırıklığı yaratan bir yaklaşım. En yakın iletişim adresinin Virgin Media adresi olması da tuhaf. https://www.o2.co.uk/.well-known/security.txt 200 yanıtı vermesi gerekirken 404 dönüyor. Böyle bir durumda kamuya açıklamayı anlamak mümkün, ama NCSC gibi bir kurumun bu sorunu daha iyi iletip iletemeyeceği de düşündürüyor
    • Aslında e-posta adresini yanlış yazmışım; Virgin Media O2'nin @virginmediao2.co.uk adresini kullanmam gerekirken, yazım hatasıyla @virginmedia.co.uk yazmışım. Bu kısmı makalede düzelteceğim
    • Gizlilik politikasında (GDPR gerekliliği) birden fazla e-posta adresi var; örneğin DPO@o2.com gibi, muhtemelen orada birileri kontrol ediyordur, bkz. https://www.o2.co.uk/termsandconditions/privacy-policy
  • O2'nin eskiden sorumlu güvenlik açığı bildirimi için bir e-posta adresi vardı ama birkaç yıl önce kaldırıldı. Eskiden güvenlik ekibi gerçekten çok iyiydi, ama geçen yıl bir konuyla ilgili e-posta attığımda her şeyin ortadan kaybolduğunu gördüm
    • O2 içindeki ilgili ekip aslında zaten bilgilendirilmiş olabilir, ama hiçbir adım atılmamış ya da atılan adımlar yetersiz kalmış olabilir
  • Bu hata sadece teorik bir açık değil; uygulamadaki tembellikten kaynaklanan bir sorun. Diğer Birleşik Krallık operatörleri bunu zaten çözmüş durumda. LTE'nin ilk günlerinden beri ECI sızıntısı sorunu biliniyordu ve açık mast veritabanları sayesinde otomatik konum eşlemesi de çok kolay, ilgili makale: https://arxiv.org/abs/2106.05007
  • Gerçekten ilginç olan şu ki, çoğu hukuki açıdan bu bir hack olarak sınıflandırılmıyor. Çünkü bu veri ağdan normal şekilde, gönüllü olarak dışarı çıkıyor; sisteme yasa dışı şekilde veri almak için kandırma yapılmış değil. Örneğin URL'ye "&reveal_privat_data=true" eklemek açık bir niyet içerdiğinden yasa dışı olurdu, ama burada öyle bir durum yok
    • Yine de bu bir veri sızıntısı sayılır ve Birleşik Krallık gibi ilgili düzenlemelerin olduğu yerlerde düzenleyici kuruma bildirim zorunluluğu ya da para cezası doğurabilir
    • Computer Misuse Act'in kapsamının çok geniş olduğu düşünülürse, sanıldığı kadar basit geçiştirilecek bir konu değil
  • Aramayı başlatan kişinin çağrı kontrol mesajlarını (ör. SIP) nasıl görebildiğini gerçekten merak ediyorum. Bu mesajların cihaz ile baz istasyonu (MME) arasında şifrelenmiş bir GRE tünelinin içinde olduğunu sanıyordum. Eğer biri GRE tünel şifrelemesini çözdüyse bu çok büyük bir güvenlik açığı olur. Muhtemelen OP bunu kendi cihazında analiz ettiği için mümkün oluyordur, ama yine de şifreleme öncesi payload'u görebilmesi şaşırtıcı
    • Makalenin editörüyüm; Qualcomm çipli Android cihazların çoğunda USB üzerinden modem tanılama portunu açma seçeneği var, üstelik root da gerekmiyor. NSG'yi root'lu kullanmak, dizüstü bilgisayarla dolaşmaktan çok daha pratik olduğu için tercih ediyorum. Scat(https://github.com/fgsect/scat) aracını modem tanılama portunu etkinleştirerek kullanırsanız tüm sinyal trafiğini görebilirsiniz
    • Root'lu bir Android telefon ve Network Signal Guru(https://play.google.com/store/apps/details?id=com.qtrun.QuickTest) uygulamasını kullanıyorum. Ücretsiz sürüm aslında "şifre çözmüyor", ama root yetkisi ve modeme erişimle bu loglar okunabiliyor. Belirli bantları kapatabiliyor ya da sadece belirli baz istasyonlarına bağlanmasını sağlayabiliyor; veri hattı olarak kullanırken işe yarıyor
    • Birçok operatör VoLTE için SIP sinyallemesini P-CSCF'de sonlanan bir IPsec taşımasına koyuyor, ama çoğu (hatta belki hepsi) IPsec'i yalnızca bütünlük sağlayacak şekilde yapılandırıyor
    • Düzeltme: GRE değil, GTP
    • Sanırım kastedilen GTP tüneliydi; GTP tünelleri enodeb ile çekirdek ağ arasında çalışır ve yalnızca IPSEC içinde güvenlidir
  • O2'nin hâlâ iş yapabiliyor olmasına şaşırıyorum; diğer ağlardan çok daha kötü, hatta backhaul sorunlarıyla ünlü Three'den bile daha zayıf. O2 SIM taşımamın tek nedeni Priority biletleri ve onların mekânlarında kullanabildiğim sinyal
    • 5G Standalone ağına erişebiliyorsanız çok daha iyi oluyor; ama yeni bir SIM kart ve uyumlu bir telefon gerekiyor. Fark hissedilir düzeyde
  • Bunun oldukça ciddi bir sorun olduğunu düşünüyorum. Telefonu root edip NSG kurarak bu bilgileri görmek pek zor değil. O2 aynı zamanda Birleşik Krallık'ın en büyük mobil operatörü ve devletle de sözleşmeleri var. Yanıt vermemeleri hayal kırıklığı yaratıyor ama şaşırtmıyor. O2 içeride oldukça dağınık durumda; mağazada çözülemeyen bir şeyi düzeltmeleri gerçekten çok uzun sürüyor (ör. numara taşıma sorunları). Sistemleri de eski, bazı müşteriler hâlâ VoLTE kullanamıyor, 5G SA sesli aramayı desteklemiyor ve n28'e aşırı bağımlılık nedeniyle çoğu zaman yavaş kalıyor. CTO blogunda "gösteriş rakamlarını bırakıp asıl önemli olana odaklanalım" minvalinde yazılar yazıyor ama veri kalitesinde sürekli son sıradalar, ilgili blog: https://news.virginmediao2.co.uk/leaving-the-vanity-metrics-behind-and-focusing-on-what-matters-customer-experience/
    • AB dolaşım ücreti almamalarının nedeni acaba bunun için bir ücretlendirme sistemlerinin olmaması mı diye düşünmeye başlıyorum
  • VoLTE'yi kapatarak bunun önlenip önlenemeyeceğini merak ediyorum. iPhone 11'de kapatma seçeneğini buldum ama iPhone 15'te böyle bir seçenek yok
    • 4G Calling(VoLTE) devre dışı bırakılsa bile bu başlıklar sızıyor ve cihaz kapalı olsa bile son bağlandığı hücrenin konumu ile zamanı hâlâ açığa çıkıyor. Yani bir faydası yok
    • O2 UK, eski ön ödemeli (PAYG) müşterilere VoLTE desteği vermiyor; sadece tarifeli müşterilere veriyor. Şu anda buna sevinilecek bir durum gibi görünüyor
  • IMS hakkında pek bilgim yok ama bu debug başlıklarının gönderilmesi için aramayı bir süre açık tutmak gerekmiyor mu diye merak ediyorum; tam bir casus filmi arama takibi sahnesi gibi. Eğer öyleyse bilinmeyen numaraları hiç açmayarak korunmak mümkün mü diye düşünüyorum. Tabii biri tanıdık bir numarayla ararsa yine aynı sızıntı olur
    • Bu tür bilgiler aslında ağ tarafından arama bağlanmadan önce de biliniyor. Muhtemelen bunlar debug amaçlı başlıklar olduğu için, bağlantı kurulamadığında hata ayıklama yapabilmek adına yine de gerekiyor. Doğru anlıyorsam cihaz kapalı olsa bile son kullanılan hücre bilgisini veriyor
    • IMS aslında sadece SIP çekirdeği + çeşitli ağ geçitleri + temel LTE altyapısından (ör. eNodeB, PCRF vb.) oluşan bir yapı. Buradaki sinyal mesajları da sadece SIP mesajları. Eğer bu başlıklar SIP 180 Ringing gibi yanıtlarda da yer alıyorsa, telefonu hiç açmasanız bile bilgi sızabilir. Bunu bizzat operatörde IMS kurulumu yapmış biri olarak söylüyorum
  • Bunun O2 NZ'de de olup olmadığını merak ediyorum; geçen hafta Avustralya'da sınırsız dolaşım ve VoLTE aramaları için oraya geçtim
    • Muhtemelen bu sorun yalnızca O2 UK'ye özgü bir mesele