O2 VoLTE: सिर्फ़ एक कॉल से सभी ग्राहकों की लोकेशन ट्रैक करना संभव

 (mastdatabase.co.uk)
2 पॉइंट द्वारा GN⁺ 2025-05-18 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • O2 UK की VoLTE(4G Calling) सेवा में कॉल के दूसरे पक्ष की लोकेशन जानकारी और डिवाइस पहचानकर्ता भेजे जाने की घटना मिली
  • IMS सिग्नलिंग संदेशों में IMSI, IMEI, Cell ID जैसी संवेदनशील जानकारी शामिल है, जिसे बाहर से आसानी से प्राप्त किया जा सकता है
  • सार्वजनिक crowdsourcing डेटा (cellmapper.net आदि) के ज़रिए इस जानकारी से सटीक लोकेशन पता करना संभव है
  • यह भेद्यता सभी O2 ग्राहकों पर लागू होती है, इसलिए कोई भी हमले का लक्ष्य बन सकता है
  • उपयोगकर्ता या सामान्य ग्राहक अलग से किसी तरीके से इस जानकारी के लीक होने को रोक नहीं सकते

परिचय

  • Voice over LTE(VoLTE) मोबाइल नेटवर्क में इंटरनेट-आधारित प्रोटोकॉल का उपयोग करके वॉयस कॉल संभव बनाने वाली तकनीक है
  • VoLTE में इस्तेमाल होने वाला IP Multimedia Subsystem(IMS) अपनी जटिलता और डिवाइसों के बीच इंटरैक्शन समस्याओं के कारण सुरक्षा जोखिम पैदा कर सकता है
  • प्रत्येक टेलीकॉम ऑपरेटर IMS सर्वर कॉन्फ़िगरेशन और सेवा इम्प्लिमेंटेशन का तरीका अलग-अलग चुन सकता है, इसलिए गलत सेटिंग होने पर डेटा लीक का जोखिम रहता है
  • यह दस्तावेज़ उस मामले का विश्लेषण करता है जिसमें O2 UK ने ऐसी सुरक्षा चिंताओं को वास्तविक रूप दिया

O2 UK की IMS/VoLTE सेवा की स्थिति

  • 27 मार्च 2017 को O2 UK ने 4G Calling नाम से अपनी पहली IMS-आधारित सेवा शुरू की, जिससे कॉल के दौरान बेहतर वॉइस क्वालिटी और डेटा उपयोग का अनुभव मिला
  • लेखक ने कॉल क्वालिटी मापने के लिए rooted Google Pixel 8 पर Network Signal Guru(NSG) ऐप का उपयोग किया
  • ऐप की सीमाओं के कारण, उन्होंने सीधे raw IMS सिग्नलिंग संदेशों का विश्लेषण किया और कॉल के दौरान आदान-प्रदान होने वाली विस्तृत जानकारी की पुष्टि की

सिग्नलिंग संदेशों की समस्या

  • O2 UK के IMS सिग्नलिंग response में अन्य ऑपरेटरों की तुलना में बहुत विस्तृत और लंबी जानकारी शामिल है
  • IMS/SIP सर्वर जानकारी, version, error, debug log के साथ नीचे जैसे संवेदनशील headers भी शामिल हैं
    • दो जोड़ी IMSI, दो जोड़ी IMEI
    • Cellular-Network-Info: प्राप्तकर्ता नेटवर्क, लोकेशन कोड, सेल ID आदि
  • संदेश के भीतर IMSI, IMEI और Cell ID की तुलना करने पर यह पुष्टि हुई कि इसमें कॉल के दूसरे पक्ष (रिसीवर) की जानकारी भी शामिल थी

Cell ID के ज़रिए लोकेशन ट्रैकिंग

  • Cellular-Network-Info header को decode करने पर रिसीवर का ऑपरेटर, लोकेशन एरिया कोड(LAC), और Cell ID सामने आते हैं
  • इस Cell ID को cellmapper.net जैसी सेवाओं में डालकर बेस स्टेशन की लोकेशन सटीक रूप से पता की जा सकती है
  • शहर जैसे घनी आबादी वाले क्षेत्रों में बेस स्टेशन कवरेज 100m² के भीतर सीमित हो सकती है, इसलिए काफ़ी उच्च सटीकता से लोकेशन पता करना संभव है
  • वास्तव में O2 ग्राहक के विदेश में roaming के दौरान भी यह तरीका काम करता था और शहर के केंद्र तक लोकेशन की पहचान की गई
  • यह जानकारी किसी विशेष उपकरण या प्रक्रिया के बिना IMS कॉलिंग समर्थित सभी O2 डिवाइसों पर उजागर होती है

सुधार की मांगें

  • O2 को ग्राहकों की प्राइवेसी और सुरक्षा की रक्षा के लिए IMS/SIP संदेशों से संवेदनशील headers (लोकेशन और डिवाइस जानकारी) हटाने चाहिए
  • debug प्रयोजन वाले headers भी अनावश्यक सूचना लीक का कारण बन सकते हैं, इसलिए उन्हें निष्क्रिय करना चाहिए
  • नेटवर्क core के बाहर मौजूद डिवाइसों को ऐसे headers दिखाई देना तर्कसंगत नहीं है
  • O2 के भीतर सुरक्षा समस्या रिपोर्ट करने के उचित चैनल का अभाव, अन्य ऑपरेटरों (जैसे EE) की तुलना में गंभीर समस्या है

निष्कर्ष

  • O2 ग्राहकों के साथ यह जोखिम है कि कोई भी व्यक्ति केवल मोबाइल नेटवर्क का बुनियादी ज्ञान रखकर उनकी सटीक लोकेशन तक ट्रैक कर सकता है
  • उपयोगकर्ता 4G Calling बंद कर दें तब भी संवेदनशील जानकारी का लीक रुकता नहीं, इसलिए वे स्वयं इससे बचाव नहीं कर सकते
  • डिवाइस नेटवर्क से जुड़ा न होने पर भी आख़िरी बार जुड़े सेल और कनेक्शन समय की जानकारी IMS संदेशों में बनी रहती है
  • 26~27 मार्च 2025 को O2 से जुड़े सुरक्षा ज़िम्मेदारों और CEO को ईमेल के ज़रिए इस तथ्य और जोखिम के बारे में कई बार बताया गया, लेकिन कोई विशेष प्रतिक्रिया या सुधार नहीं हुआ

संदर्भ

संशोधन रिकॉर्ड

  • 18 मई 2025, 23:40 तक, मूल लेख में O2 सुरक्षा रिपोर्टिंग ईमेल पते की गलती (virginmedia.co.ukvirginmediao2.co.uk) को ठीक कर दिया गया

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-05-18
Hacker News टिप्पणियाँ
  • 26 और 27 मार्च 2025 को O2 को ईमेल करके इस व्यवहार और privacy जोखिम के बारे में बताया गया था, लेकिन अभी तक न कोई जवाब आया है और न कोई बदलाव हुआ है; यह वाकई निराशाजनक प्रतिक्रिया है। Virgin Media का पता सबसे नज़दीकी संपर्क के रूप में दिखना भी सवाल खड़ा करता है, और https://www.o2.co.uk/.well-known/security.txt का 200 response देने के बजाय 404 देना भी समस्या है। ऐसी स्थिति में इसे सार्वजनिक करना समझ में आता है, लेकिन यह भी सवाल है कि क्या NCSC जैसी कोई संस्था इस मुद्दे को बेहतर तरीके से पहुँचा सकती थी
    • दरअसल ईमेल address गलत लिखा गया था; Virgin Media O2 का @virginmediao2.co.uk इस्तेमाल होना चाहिए था, लेकिन टाइपो के कारण @virginmedia.co.uk लिखा गया। इस हिस्से को लेख में सुधारा जाएगा
    • privacy policy (GDPR की अनिवार्य आवश्यकता) में कई email addresses दिए गए हैं, जैसे DPO@o2.com आदि, इसलिए संभव है कि वहाँ कोई इन्हें देख रहा हो, देखें https://www.o2.co.uk/termsandconditions/privacy-policy
  • पहले O2 के पास responsible disclosure के लिए एक email address था, लेकिन कुछ साल पहले वह हटा दिया गया। पहले उनकी security team वाकई बहुत अच्छी थी, लेकिन पिछले साल किसी issue पर मेल किया तो लगा कि वह सब गायब हो चुका है
    • O2 के भीतर संबंधित team को वास्तव में पहले ही सूचित किया गया था, लेकिन या तो कोई कार्रवाई नहीं हुई, या बहुत अपर्याप्त कार्रवाई हुई
  • यह bug सिर्फ सैद्धांतिक bug नहीं है, बल्कि implementation में आलस्य की वजह से पैदा हुई समस्या है। दूसरे UK telecom operators इसे पहले ही ठीक कर चुके हैं। LTE की शुरुआती तैनाती के समय से ही ECI leakage पर चर्चा होती रही है, और open mast DB की वजह से automatic location mapping भी बहुत आसान है। संबंधित paper देखें: https://arxiv.org/abs/2106.05007
  • वास्तव में दिलचस्प बात यह है कि ज़्यादातर कानूनी नज़रियों से इसे hacking नहीं माना जाएगा। यह data नेटवर्क से सामान्य तरीके से स्वेच्छा से बाहर जा रहा है; किसी system को धोखा देकर अवैध तरीके से data हासिल नहीं किया गया। उदाहरण के लिए URL में "&reveal_privat_data=true" जोड़ना स्पष्ट इरादे वाला काम होगा और अवैध माना जाएगा, लेकिन यहाँ ऐसी बात नहीं है
    • फिर भी यह data breach की श्रेणी में आता है, और UK जैसी जगहों में जहाँ ऐसे नियम हैं, यह regulator को रिपोर्ट करने या जुर्माना लगने का कारण बन सकता है
    • Computer Misuse Act का दायरा बहुत व्यापक है, इसे देखते हुए मामला उतना सीधा नहीं है जितना लग सकता है
  • यह जानने की बहुत उत्सुकता है कि कॉल शुरू करने वाला व्यक्ति call control messages (जैसे SIP) देख कैसे पा रहा था। मुझे लगा था कि ये messages handset और base station (MME) के बीच encrypted GRE tunnel के अंदर होते हैं। अगर किसी ने GRE tunnel encryption तोड़ दी हो, तो यह बहुत बड़ी security vulnerability होगी। शायद OP अपने ही device पर analysis कर रहा हो, इसलिए संभव हुआ हो, लेकिन फिर भी encryption से पहले का payload देख पाना चौंकाने वाला है
    • लेख का editor हूँ। Qualcomm chip वाले ज़्यादातर Android devices में USB के जरिए modem diagnostic port expose करने का option होता है, इसलिए root की भी ज़रूरत नहीं पड़ती। NSG को root करके इस्तेमाल करना laptop लेकर घूमने से कहीं आसान है, इसलिए वही पसंद है। Scat(https://github.com/fgsect/scat) को modem diagnostic port activation के साथ इस्तेमाल करें तो पूरा signaling traffic देखा जा सकता है
    • मैं rooted Android phone और Network Signal Guru(https://play.google.com/store/apps/details?id=com.qtrun.QuickTest) app इस्तेमाल कर रहा हूँ। free version वास्तव में 'decrypt' नहीं करता, लेकिन root access और modem access के जरिए ऐसे logs पढ़े जा सकते हैं। आप कुछ bands बंद कर सकते हैं या device को सिर्फ किसी खास cell site से जोड़ सकते हैं, जो data-only इस्तेमाल में काम आता है
    • कई operators VoLTE के लिए SIP signaling को P-CSCF पर terminate होने वाले IPsec transport के साथ configure करते हैं, लेकिन अधिकांश (या शायद सभी) IPsec को केवल integrity protection के लिए set करते हैं
    • सुधार: GRE नहीं, GTP
    • शायद GTP tunnel की बात थी। GTP tunnel enodeb और core network के बीच काम करता है, और सुरक्षा सिर्फ IPSEC के भीतर ही होती है
  • हैरानी होती है कि O2 अब भी business चला कैसे रहा है। यह दूसरे networks से काफ़ी खराब है, यहाँ तक कि गंभीर backhaul issues वाले Three से भी बदतर। मेरे पास O2 SIM होने की एकमात्र वजह Priority tickets और उनके venues में काम आने वाला signal है
    • अगर आप 5G Standalone network से जुड़ सकें, तो अनुभव काफ़ी बेहतर हो जाता है। हालाँकि इसके लिए नया SIM card और compatible phone चाहिए। फर्क साफ़ महसूस होता है
  • मुझे यह काफी गंभीर समस्या लगती है। phone को root करके NSG install करना और यह जानकारी देखना इतना मुश्किल नहीं है। O2 UK का सबसे बड़ा mobile operator भी है और सरकार के साथ contracts भी हैं। जवाब न मिलना निराशाजनक है, लेकिन कुछ हद तक उम्मीद के मुताबिक भी। O2 अंदर से बिखरा हुआ लगता है। जो चीज़ store में हल नहीं हो सकती, उसे ठीक होने में बहुत समय लगता है, जैसे number porting issues। systems पुराने हैं, कुछ customers अब भी VoLTE इस्तेमाल नहीं कर सकते, 5G SA voice calls support नहीं करता, और n28 पर ज़रूरत से ज़्यादा निर्भरता के कारण अक्सर धीमा रहता है। CTO भले ही "vanity metrics छोड़कर असल बातों पर ध्यान देने" जैसी बात ब्लॉग में लिखते हों, लेकिन data quality में यह हमेशा सबसे नीचे रहता है। संबंधित ब्लॉग: https://news.virginmediao2.co.uk/leaving-the-vanity-metrics-behind-and-focusing-on-what-matters-customer-experience/
    • अब तो लगने लगा है कि वे EU roaming charges इसलिए नहीं लेते क्योंकि शायद उनके पास billing system ही नहीं है
  • क्या VoLTE बंद करके इस समस्या को रोका जा सकता है, यह जानने की जिज्ञासा है। iPhone 11 में इसे बंद करने का तरीका मिल गया था, लेकिन iPhone 15 में वह option नहीं है
    • 4G Calling (VoLTE) बंद करने पर भी ऐसे headers उजागर होते हैं, और device बंद होने पर भी आख़िरी बार जुड़े cell की location और time अब भी उजागर रहते हैं। इसलिए इससे कोई फायदा नहीं
    • O2 UK पुराने prepaid (PAYG) customers को VoLTE support नहीं देता, सिर्फ plan वाले users को देता है। अब तो यह उल्टा अच्छी बात लगने लगी है
  • मुझे IMS के बारे में ज़्यादा जानकारी नहीं है, लेकिन क्या debug headers भेजे जाने के लिए call को कुछ देर तक चालू रहना ज़रूरी नहीं होगा? थोड़ा वैसा जैसे spy फिल्मों में call trace करना दिखाते हैं। अगर ऐसा है, तो क्या अनजान नंबर न उठाकर इससे बचा जा सकता है? हालाँकि अगर कोई परिचित व्यक्ति नंबर पर संपर्क करे, तो फिर भी जानकारी लीक हो सकती है
    • ऐसी जानकारी तो नेटवर्क के पास call connect होने से पहले ही होती है। शायद debug headers होने के कारण, debugging के लिए failed connection की स्थिति में भी इसकी ज़रूरत पड़ती है। अगर समझ सही है, तो device बंद होने पर भी आख़िरी उपयोग किए गए cell की जानकारी दी जाती है
    • IMS मूल रूप से SIP core + कई gateways + बुनियादी LTE infrastructure (जैसे eNodeB, PCRF आदि) का संयोजन है। यहाँ signaling messages बस SIP messages ही होते हैं। अगर ऐसे headers SIP 180 Ringing जैसे messages में भी हों, तो फोन उठाए बिना भी जानकारी लीक हो सकती है। यह बात उस अनुभव के आधार पर कही गई है जहाँ वास्तव में operator के लिए IMS deploy किया गया था
  • क्या O2 NZ में भी यह समस्या है, यह जानने की उत्सुकता है। Australia में unlimited roaming और VoLTE calls की वजह से पिछले हफ्ते ही वहाँ switch किया है
    • संभवतः यह issue केवल O2 UK तक सीमित है