2 पॉइंट द्वारा GN⁺ 2025-05-18 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • O2 UK के 4G Calling/WiFi Calling implementation में एक समस्या थी, जिसमें caller को ऐसे IMS/SIP headers मिल रहे थे जिनका उपयोग receiver की location का अनुमान लगाने के लिए किया जा सकता था, और यह exposure कई महीनों तक सभी O2 ग्राहकों को प्रभावित करता रहा
  • IMS signaling messages में O2 के IMS/SIP server Mavenir UAG, उसका version, debug information, error messages, और caller व receiver दोनों के IMSI·IMEI के साथ receiver का Cellular-Network-Info शामिल था
  • Cellular-Network-Info के utran-cell-id-3gpp मान को PLMN, Location Area Code, और Cell ID में बाँटकर, फिर Cellmapper जैसे सार्वजनिक base-station data से मिलान करने पर receiver की लगभग location पता की जा सकती है
  • शहरों में सड़क की लाइटों आदि पर लगे small cell बहुत छोटे क्षेत्र को कवर करते हैं, जिससे location अनुमान की सटीकता काफी बढ़ जाती है; roaming पर मौजूद O2 ग्राहकों को भी Copenhagen के city center तक सीमित किया जा सका
  • 4G Calling और WiFi Calling दोनों बंद करने पर location exposure रोका जा सकता है, लेकिन IMEI और IMSI exposure IMS registration state से स्वतंत्र रूप से बना रहता है, इसलिए O2 को संबंधित headers को IMS/SIP messages से हटाना चाहिए

IMS कॉल से लीक हुए location clues

  • Voice over LTE(VoLTE) IP Multimedia Subsystem(IMS) standard का उपयोग करके mobile network में internet-based protocol पर voice calls को संभालता है
  • IMS implementation जटिल होती है और device dependency भी अधिक होती है, इसलिए पहले कुछ devices में VoLTE और WiFi Calling के लिए खास firmware की जरूरत पड़ती थी
  • Mobile networks यह चुनते हैं कि IMS services को कैसे implement करना है और कौन-सी settings इस्तेमाल करनी हैं, और फोन सीधे उन servers से communicate करते हैं
  • इस संरचना में servers को up to date रखना और यह सुनिश्चित करना कि settings से अनावश्यक data exposure न हो, mobile network की जिम्मेदारी है

O2 UK 4G Calling की जाँच कैसे की गई

  • O2 UK ने 27 मार्च 2017 को अपनी पहली IMS service 4G Calling लॉन्च की
    • इसका उद्देश्य call quality सुधारना था, और call के दौरान 3G पर fallback न होने से data experience भी बेहतर होता था
  • शोधकर्ता ने O2 पर आने के बाद यह जाँचना चाहा कि 4G/WiFi Calling में कौन-कौन से voice codecs supported हैं
  • Rooted Google Pixel 8 पर Network Signal Guru(NSG) का उपयोग करके अन्य O2 ग्राहकों के 4G VoLTE-compatible devices पर कॉल की गई
  • नए Google Pixel के Samsung modem में NSG bug होने के कारण VoLTE section में current call codec अपने-आप नहीं दिख रहा था, इसलिए इसके बजाय device और network के बीच raw IMS signaling messages देखे गए

IMS/SIP messages में मौजूद संवेदनशील headers

  • Network responses, दूसरे networks पर पहले देखी गई responses की तुलना में, बहुत अधिक विस्तृत और लंबे थे
  • Messages में O2 द्वारा उपयोग किया जाने वाला IMS/SIP server Mavenir UAG और उसका version number शामिल था
  • Call information को process करने वाली C++ service में समस्या आने पर दिखने वाले error messages और अन्य debug information भी exposed थे
  • खास तौर पर message के निचले हिस्से में इस प्रकार के headers थे
    • P-Mav-Extension-IMSI: 2 IMSI
    • P-Mav-Extension-IMEI: 2 IMEI
    • Cellular-Network-Info: receiver की cell information
  • IMSI और IMEI को शोधकर्ता के device information से मिलाने पर यह स्पष्ट हुआ कि केवल caller ही नहीं, बल्कि call receiver का IMSI और IMEI भी शामिल था

Cellular-Network-Info से location कैसे निकाली गई

  • Cellular-Network-Info value की शुरुआत में मौजूद 3GPP-E-UTRAN-FDD यह दिखाता है कि cell data 4G, यानी आधिकारिक नाम E-UTRAN FDD, से संबंधित है
  • इसके बाद आने वाला utran-cell-id-3gpp value 3 हिस्सों में बँटा होता है
    • शुरुआती 5~6 characters receiver के network PLMN को दर्शाते हैं
    • अगले 4 characters receiver का Location Area Code(LAC) होते हैं, और यह hexadecimal में होता है
    • अंतिम 7 characters receiver का Cell ID होते हैं, और यह भी hexadecimal में होता है
  • अंतिम section data की age को seconds में दर्शाता है
    • यह तब मौजूद होता है जब device इस समय network से connected न हो, signal न हो, या WiFi Calling पर निर्भर हो
  • उदाहरण message में यह निकाला जा सका कि receiver O2 network 234-10 से connected है, LAC 0x1003, Cell ID 0x7a60773 पर है, और Google Pixel 9 के साथ O2 SIM का उपयोग कर रहा है

सार्वजनिक base-station data के साथ location estimation

  • Cell ID को Cellmapper के cell ID calculator में डालकर संबंधित site ID निकाली जा सकती है
  • इसके बाद Cellmapper map पर उस site को खोजकर call के समय की macro cell का पता लगाया जा सकता है
  • Macro cell का coverage अपेक्षाकृत बड़ा होता है, लेकिन घने शहरी क्षेत्रों में कई छोटे cells उपयोग होते हैं
    • small cell कई बार सीधे सड़क की लाइटों पर लगाए जाते हैं
    • हर site केवल 100㎡ जितने छोटे क्षेत्र को कवर कर सकती है
  • यही हमला roaming पर मौजूद अन्य O2 ग्राहकों पर भी आजमाया गया, और उन्हें Denmark के Copenhagen city center तक सीमित किया जा सका
  • शोधकर्ता के device ने network के साथ कोई विशेष interaction नहीं किया; उसने सिर्फ device को भेजी गई information को देखने की सुविधा दी
  • IMS, यानी 4G Calling या WiFi Calling, के जरिए कॉल करने वाले O2 devices को ऐसी information मिल सकती है जिसका उपयोग call receiver की geographic location का अनुमान लगाने में किया जा सकता है

O2 को कौन-से headers हटाने चाहिए और users क्या कर सकते हैं

  • ग्राहकों की privacy और safety की रक्षा के लिए O2 को highlighted headers को सभी IMS/SIP messages से हटाना चाहिए
  • Debug headers को disable करना भी तार्किक होगा
    • Network core के बाहर किसी भी device को ऐसे headers देखने की आवश्यकता नहीं है
    • Debug headers अनजाने में अतिरिक्त information leak कर सकते हैं
  • प्रतिद्वंद्वी EE BT responsible disclosure का रास्ता देता है, लेकिन O2 में ऐसे संभावित attack vector की report करने के लिए स्पष्ट escalation path की कमी है
  • 26 और 27 मार्च 2025 को O2 के CEO Lutz Schüler और securityincidents@virginmediao2.co.uk पर इस behavior और privacy risk के बारे में email भेजी गई, लेकिन कोई response या behavior change नहीं मिला
  • 4G Calling और WiFi Calling दोनों बंद करने पर location exposure वाले हिस्से को प्रभावी रूप से रोका जा सकता है
    • Cellular-Network-Info header केवल तब भेजा जाता है जब receiver device reply करता है
    • IMEI और IMSI exposure IMS registration state से स्वतंत्र रूप से जारी रहता है
  • 27 मई 2025 के update में, पहले यह कहा गया था कि location exposure को mitigate करने का कोई तरीका नहीं है, लेकिन IMS signaling और device header transmission behavior की आगे जाँच के बाद इसे सुधारा गया कि 4G Calling और WiFi Calling दोनों बंद करने पर location exposure वाला हिस्सा mitigate किया जा सकता है

1 टिप्पणियां

 
GN⁺ 2025-05-18
Hacker News टिप्पणियाँ
  • 26~27 मार्च 2025 को O2 CEO और security incident email address पर इस व्यवहार और privacy risk की सूचना देने के बावजूद न कोई जवाब मिला, न कोई बदलाव हुआ — यह सचमुच बहुत खराब है
    यह भी सवाल है कि Virgin Media address सबसे बेहतर संपर्क विकल्प के सबसे करीब क्यों है, और https://www.o2.co.uk/.well-known/security.txt को 404 नहीं बल्कि 200 return करना चाहिए
    ऐसी स्थिति में इसे public करना मुझे गलत नहीं लगता, लेकिन शायद NCSC कुछ खास परिस्थितियों में ऐसे मामलों को संभाल सकता है और संगठन के साथ बेहतर तरीके से संवाद भी कर सकता है

    • यह वास्तव में हमारी तरफ की गलती थी
      जिस email पर संपर्क किया गया था वह @virginmedia.co.uk नहीं बल्कि @virginmediao2.co.uk था, और पोस्ट में typo था
      इसे ठीक करके update करेंगे
    • privacy policy में GDPR requirements की वजह से कई email addresses दिए गए हैं
      उदाहरण के लिए DPO@o2.com जैसी जगह को शायद कोई मॉनिटर कर रहा हो
      https://www.o2.co.uk/termsandconditions/privacy-policy
  • O2 के पास पहले responsible disclosure के लिए एक address था, लेकिन कुछ साल पहले उसे हटा दिया गया
    बहुत पहले जब मैं वहाँ काम करता था, security team बेहतरीन थी, लेकिन पिछले साल जब मैंने किसी issue पर mail भेजा, तब वे लोग सब गायब हो चुके थे

    • मुझे पता है कि O2 के भीतर संबंधित team को वास्तव में इस बारे में बताया गया था, लेकिन नतीजे से लगता है कि या तो कोई कार्रवाई नहीं हुई, या पर्याप्त नहीं हुई
  • इस मामले में सबसे दिलचस्प बात यह है कि ज़्यादातर jurisdictions में शायद इसे hacking भी classify नहीं किया जाएगा
    data नेटवर्क पर सामान्य उपयोग के दौरान स्वेच्छा से transmit हो रहा है
    किसी system को personal data उजागर करने के लिए trick नहीं किया गया, जबकि ऐसा करना — चाहे hacking मामूली ही क्यों न हो — अक्सर अवैध होता है
    URL में सिर्फ &reveal_privat_data=true जैसा कुछ जोड़ना भी बिना अधिकार वाले data तक पहुँचने की स्पष्ट मंशा दिखाता है, इसलिए उसे अवैध माना जा सकता है, लेकिन यहाँ ऐसा भी कुछ नहीं है

    • फिर भी यह data breach है, और यदि regulation UK में है तो इसे तुरंत regulator को report करना चाहिए; report न करने पर fine वगैरह हो सकता है
    • शायद आपको अंदाज़ा नहीं है कि UK का Computer Misuse Act कितना व्यापक रूप से लागू हो सकता है
  • डरावनी बात यह है कि यह कोई theoretical bug नहीं है
    जैसा पोस्ट में भी कहा गया है, दूसरे UK carriers इसे पहले ही ठीक कर चुके हैं; यह implementation laziness का मामला है, और LTE rollout के समय से ही ECI leakage की ओर इशारा किया जाता रहा है
    https://arxiv.org/abs/2106.05007—and जैसे papers भी हैं, और अगर public cell-tower database हो तो automated location mapping करना बहुत आसान है

    • संभव है कि जो security agencies अब तक इसका इस्तेमाल करती रही हों, उनसे क्या करना है इस पर निर्देश आने का इंतज़ार करते हुए वे panic में हों
  • यह भी बेहद दिलचस्प है कि caller call control messages, यानी SIP, को कैसे देख पा रहा था
    क्या ऐसे messages handset, base station और MME के बीच encrypted GRE tunnel के अंदर नहीं जाते? अगर GRE tunnel encryption तोड़ी जा सकती है तो यह बहुत बड़ा hole होगा, हालांकि शायद मूल पोस्ट का लेखक अपने ही device पर analysis चलाकर यह कर पा रहा हो
    फिर भी encryption से पहले payload दिख जाना चौंकाने वाला है

    • मैं इस पोस्ट का editor हूँ
      Qualcomm chips वाले कई Android devices USB के ज़रिए modem diagnostic port expose कर सकते हैं, इसलिए rooted device की भी ज़रूरत नहीं पड़ती
      हालांकि laptop लेकर घूमने से कहीं आसान है कि device पर rooted NSG इस्तेमाल किया जाए
      modem diagnostic port ऑन करने के बाद Scat(https://github.com/fgsect/scat) इस्तेमाल करें, तो network के साथ आने-जाने वाला लगभग सारा signaling traffic देखना काफी आसान हो जाता है
    • मैं rooted Android phone और Network Signal Guru नाम का app इस्तेमाल कर रहा हूँ: https://play.google.com/store/apps/details?id=com.qtrun.Quic...
      कम-से-कम app का free version कुछ भी “decrypt” करता हुआ नहीं लगता, लेकिन उसके पास root privileges और modem access है, इसलिए वह इस तरह के logs पढ़ सकता है
      इससे bands बंद करने या किसी खास cell tower पर lock करने की कोशिश भी की जा सकती है, इसलिए अगर आप dedicated 4G/5G router की तरह mobile data को मुख्य internet connection के रूप में इस्तेमाल करना चाहते हैं, तो यह उपयोगी है
    • कई carriers VoLTE के लिए SIP signaling को P-CSCF पर terminate होने वाले IPsec transport के साथ configure करते हैं, लेकिन अधिकांश या सभी IPsec को सिर्फ integrity protection के लिए configure करते हैं
    • मेरा मतलब शायद GRE नहीं बल्कि GTP tunnel था
      GTP tunnel eNodeB और core network के बीच होती है, और तभी protected होती है जब वह IPsec के अंदर चल रही हो
    • सुधार: GTP
  • O2 अब दावा कर रहा है कि समस्या ठीक कर दी गई है: https://www.ispreview.co.uk/index.php/2025/05/o2-uk-fixes-vo...

    • submit की गई पोस्ट को आज सुबह update किया गया
      उसमें लिखा है: “O2 ने email से संपर्क कर पुष्टि की कि यह समस्या ठीक कर दी गई है। हमने खुद verify किया, और vulnerability अब resolve हुई लगती है”
    • बयान में कहा गया कि “engineering team कई हफ्तों से fix पर काम और testing कर रही थी”
      ज़रा सोचिए, इतना sensitive data रखने वाला database इतने समय तक, वह भी शायद किसी को बताए बिना, जानबूझकर unprotected छोड़ा गया था
      ICO इसे कैसे handle करेगा, यह देखना दिलचस्प होगा
  • यह काफ़ी गंभीर समस्या लगती है
    फ़ोन को root करके NSG इंस्टॉल करने के बाद यह जानकारी देखना मुश्किल नहीं है
    O2 यूके का सबसे बड़ा mobile network भी है और सरकार के साथ इसके contracts भी हैं
    जवाब न देना निराशाजनक है, लेकिन चौंकाने वाला नहीं
    लगता है O2 अंदर से बुरी तरह अव्यवस्थित है, और जो चीज़ें स्टोर में कोई तुरंत ठीक नहीं कर सकता, उन्हें सुलझाने में बहुत समय लगता है
    उदाहरण के लिए number porting errors जैसी चीज़ें
    सिस्टम पुराने लगते हैं, कुछ user segments अब भी VoLTE इस्तेमाल नहीं कर सकते, नया 5G SA voice support नहीं करता, और लगता है यह n28 पर ज़रूरत से ज़्यादा निर्भर है, इसलिए कई मामलों में धीमा है
    CTO ने ब्लॉग में लिखा कि “vanity metrics से आगे बढ़ना चाहिए”, जबकि आम तौर पर data performance के मामले में यह सबसे खराब networks में से एक है
    [0] https://news.virginmediao2.co.uk/leaving-the-vanity-metrics-...

    • अब मुझे लगने लगा है कि EU roaming charges नहीं लेने की असली वजह शायद यह है कि इनके पास billing system ही नहीं है
  • समझ नहीं आता कि O2 अब तक कारोबार कैसे चला रहा है
    यह बहुत बड़े अंतर से सबसे खराब network है, और दयनीय backhaul स्थिति वाले Three से भी बदतर है
    मेरे पास EE SIM के साथ O2 SIM होने की एकमात्र वजह Priority tickets और O2 venues के अंदर signal है

    • अगर 5G Standalone network की access मिल जाए, तो स्थिति बहुत बेहतर हो जाती है
      लेकिन इसके लिए नया SIM और compatible फ़ोन चाहिए, और अनुभव का फ़र्क पूरी तरह अलग स्तर का है
  • O2 network इस्तेमाल करने वाला giffgaff दावा करता है कि वह O2 के physical network के ऊपर अपना service implementation इस्तेमाल करता है, इसलिए उस पर असर नहीं पड़ता
    यह सच हो सकता है, लेकिन अब जब पता है कि दोनों एक ही कंपनी के मालिकाना हक़ में हैं, तो integration की संभावना काफ़ी ज़्यादा लगती है, इसलिए थोड़ा संदेह होता है
    अगर कोई giffgaff SIM के साथ इसे reproduce करके देखे, तो उसका नतीजा जानना अच्छा होगा

    • Telefónica बहुत पहले से इसका मालिक है
      जहाँ तक मुझे याद है, Telefónica ने 2006 में O2 को acquire किया था, और 2009 में Giffgaff को नए brand के रूप में लॉन्च किया था
    • मैंने giffgaff network पर test किया, और वास्तव में यह प्रभावित है
      समझ नहीं आता कि वे अलग नतीजे तक कैसे पहुँचे
  • क्या VoLTE बंद करने से इससे बचाव हो सकता है? iPhone 11 पर इसे बंद करने के बारे में मैंने online docs देखे थे, लेकिन मेरे iPhone 15 में वह option नहीं है

    • इसमें लिखा है, “4G Calling बंद करने से भी इस header का exposure नहीं रुकता, और जब device unreachable स्थिति में चला जाता है, तो internal headers आख़िरी बार जुड़े हुए cell और उसके बाद कितना समय बीता है, यह दिखाते रहते हैं”
      इसलिए लगता नहीं कि इससे कोई फ़ायदा होगा
    • O2 UK की परेशान करने वाली बातों में से एक यह है कि वह पुराने prepaid customers को VoLTE support नहीं देता और सिर्फ़ monthly plan वाले customers को देता है, लेकिन अभी तो यह थोड़ी राहत जैसी लगती है