O2 VoLTE में केवल एक कॉल से सभी ग्राहकों की लोकेशन ट्रैक करना संभव
(mastdatabase.co.uk)- O2 UK के 4G Calling/WiFi Calling implementation में एक समस्या थी, जिसमें caller को ऐसे IMS/SIP headers मिल रहे थे जिनका उपयोग receiver की location का अनुमान लगाने के लिए किया जा सकता था, और यह exposure कई महीनों तक सभी O2 ग्राहकों को प्रभावित करता रहा
- IMS signaling messages में O2 के IMS/SIP server Mavenir UAG, उसका version, debug information, error messages, और caller व receiver दोनों के IMSI·IMEI के साथ receiver का
Cellular-Network-Infoशामिल था Cellular-Network-Infoकेutran-cell-id-3gppमान को PLMN, Location Area Code, और Cell ID में बाँटकर, फिर Cellmapper जैसे सार्वजनिक base-station data से मिलान करने पर receiver की लगभग location पता की जा सकती है- शहरों में सड़क की लाइटों आदि पर लगे small cell बहुत छोटे क्षेत्र को कवर करते हैं, जिससे location अनुमान की सटीकता काफी बढ़ जाती है; roaming पर मौजूद O2 ग्राहकों को भी Copenhagen के city center तक सीमित किया जा सका
- 4G Calling और WiFi Calling दोनों बंद करने पर location exposure रोका जा सकता है, लेकिन IMEI और IMSI exposure IMS registration state से स्वतंत्र रूप से बना रहता है, इसलिए O2 को संबंधित headers को IMS/SIP messages से हटाना चाहिए
IMS कॉल से लीक हुए location clues
- Voice over LTE(VoLTE) IP Multimedia Subsystem(IMS) standard का उपयोग करके mobile network में internet-based protocol पर voice calls को संभालता है
- IMS implementation जटिल होती है और device dependency भी अधिक होती है, इसलिए पहले कुछ devices में VoLTE और WiFi Calling के लिए खास firmware की जरूरत पड़ती थी
- Mobile networks यह चुनते हैं कि IMS services को कैसे implement करना है और कौन-सी settings इस्तेमाल करनी हैं, और फोन सीधे उन servers से communicate करते हैं
- इस संरचना में servers को up to date रखना और यह सुनिश्चित करना कि settings से अनावश्यक data exposure न हो, mobile network की जिम्मेदारी है
O2 UK 4G Calling की जाँच कैसे की गई
- O2 UK ने 27 मार्च 2017 को अपनी पहली IMS service 4G Calling लॉन्च की
- इसका उद्देश्य call quality सुधारना था, और call के दौरान 3G पर fallback न होने से data experience भी बेहतर होता था
- शोधकर्ता ने O2 पर आने के बाद यह जाँचना चाहा कि 4G/WiFi Calling में कौन-कौन से voice codecs supported हैं
- Rooted Google Pixel 8 पर Network Signal Guru(NSG) का उपयोग करके अन्य O2 ग्राहकों के 4G VoLTE-compatible devices पर कॉल की गई
- नए Google Pixel के Samsung modem में NSG bug होने के कारण VoLTE section में current call codec अपने-आप नहीं दिख रहा था, इसलिए इसके बजाय device और network के बीच raw IMS signaling messages देखे गए
IMS/SIP messages में मौजूद संवेदनशील headers
- Network responses, दूसरे networks पर पहले देखी गई responses की तुलना में, बहुत अधिक विस्तृत और लंबे थे
- Messages में O2 द्वारा उपयोग किया जाने वाला IMS/SIP server Mavenir UAG और उसका version number शामिल था
- Call information को process करने वाली C++ service में समस्या आने पर दिखने वाले error messages और अन्य debug information भी exposed थे
- खास तौर पर message के निचले हिस्से में इस प्रकार के headers थे
P-Mav-Extension-IMSI: 2 IMSIP-Mav-Extension-IMEI: 2 IMEICellular-Network-Info: receiver की cell information
- IMSI और IMEI को शोधकर्ता के device information से मिलाने पर यह स्पष्ट हुआ कि केवल caller ही नहीं, बल्कि call receiver का IMSI और IMEI भी शामिल था
Cellular-Network-Info से location कैसे निकाली गई
Cellular-Network-Infovalue की शुरुआत में मौजूद3GPP-E-UTRAN-FDDयह दिखाता है कि cell data 4G, यानी आधिकारिक नाम E-UTRAN FDD, से संबंधित है- इसके बाद आने वाला
utran-cell-id-3gppvalue 3 हिस्सों में बँटा होता है- शुरुआती 5~6 characters receiver के network PLMN को दर्शाते हैं
- अगले 4 characters receiver का Location Area Code(LAC) होते हैं, और यह hexadecimal में होता है
- अंतिम 7 characters receiver का Cell ID होते हैं, और यह भी hexadecimal में होता है
- अंतिम section data की age को seconds में दर्शाता है
- यह तब मौजूद होता है जब device इस समय network से connected न हो, signal न हो, या WiFi Calling पर निर्भर हो
- उदाहरण message में यह निकाला जा सका कि receiver O2 network
234-10से connected है, LAC0x1003, Cell ID0x7a60773पर है, और Google Pixel 9 के साथ O2 SIM का उपयोग कर रहा है
सार्वजनिक base-station data के साथ location estimation
- Cell ID को Cellmapper के cell ID calculator में डालकर संबंधित site ID निकाली जा सकती है
- इसके बाद Cellmapper map पर उस site को खोजकर call के समय की macro cell का पता लगाया जा सकता है
- Macro cell का coverage अपेक्षाकृत बड़ा होता है, लेकिन घने शहरी क्षेत्रों में कई छोटे cells उपयोग होते हैं
- small cell कई बार सीधे सड़क की लाइटों पर लगाए जाते हैं
- हर site केवल 100㎡ जितने छोटे क्षेत्र को कवर कर सकती है
- यही हमला roaming पर मौजूद अन्य O2 ग्राहकों पर भी आजमाया गया, और उन्हें Denmark के Copenhagen city center तक सीमित किया जा सका
- शोधकर्ता के device ने network के साथ कोई विशेष interaction नहीं किया; उसने सिर्फ device को भेजी गई information को देखने की सुविधा दी
- IMS, यानी 4G Calling या WiFi Calling, के जरिए कॉल करने वाले O2 devices को ऐसी information मिल सकती है जिसका उपयोग call receiver की geographic location का अनुमान लगाने में किया जा सकता है
O2 को कौन-से headers हटाने चाहिए और users क्या कर सकते हैं
- ग्राहकों की privacy और safety की रक्षा के लिए O2 को highlighted headers को सभी IMS/SIP messages से हटाना चाहिए
- Debug headers को disable करना भी तार्किक होगा
- Network core के बाहर किसी भी device को ऐसे headers देखने की आवश्यकता नहीं है
- Debug headers अनजाने में अतिरिक्त information leak कर सकते हैं
- प्रतिद्वंद्वी EE BT responsible disclosure का रास्ता देता है, लेकिन O2 में ऐसे संभावित attack vector की report करने के लिए स्पष्ट escalation path की कमी है
- 26 और 27 मार्च 2025 को O2 के CEO Lutz Schüler और
securityincidents@virginmediao2.co.ukपर इस behavior और privacy risk के बारे में email भेजी गई, लेकिन कोई response या behavior change नहीं मिला - 4G Calling और WiFi Calling दोनों बंद करने पर location exposure वाले हिस्से को प्रभावी रूप से रोका जा सकता है
Cellular-Network-Infoheader केवल तब भेजा जाता है जब receiver device reply करता है- IMEI और IMSI exposure IMS registration state से स्वतंत्र रूप से जारी रहता है
- 27 मई 2025 के update में, पहले यह कहा गया था कि location exposure को mitigate करने का कोई तरीका नहीं है, लेकिन IMS signaling और device header transmission behavior की आगे जाँच के बाद इसे सुधारा गया कि 4G Calling और WiFi Calling दोनों बंद करने पर location exposure वाला हिस्सा mitigate किया जा सकता है
1 टिप्पणियां
Hacker News टिप्पणियाँ
26~27 मार्च 2025 को O2 CEO और security incident email address पर इस व्यवहार और privacy risk की सूचना देने के बावजूद न कोई जवाब मिला, न कोई बदलाव हुआ — यह सचमुच बहुत खराब है
यह भी सवाल है कि Virgin Media address सबसे बेहतर संपर्क विकल्प के सबसे करीब क्यों है, और https://www.o2.co.uk/.well-known/security.txt को 404 नहीं बल्कि 200 return करना चाहिए
ऐसी स्थिति में इसे public करना मुझे गलत नहीं लगता, लेकिन शायद NCSC कुछ खास परिस्थितियों में ऐसे मामलों को संभाल सकता है और संगठन के साथ बेहतर तरीके से संवाद भी कर सकता है
जिस email पर संपर्क किया गया था वह @virginmedia.co.uk नहीं बल्कि @virginmediao2.co.uk था, और पोस्ट में typo था
इसे ठीक करके update करेंगे
उदाहरण के लिए DPO@o2.com जैसी जगह को शायद कोई मॉनिटर कर रहा हो
https://www.o2.co.uk/termsandconditions/privacy-policy
O2 के पास पहले responsible disclosure के लिए एक address था, लेकिन कुछ साल पहले उसे हटा दिया गया
बहुत पहले जब मैं वहाँ काम करता था, security team बेहतरीन थी, लेकिन पिछले साल जब मैंने किसी issue पर mail भेजा, तब वे लोग सब गायब हो चुके थे
इस मामले में सबसे दिलचस्प बात यह है कि ज़्यादातर jurisdictions में शायद इसे hacking भी classify नहीं किया जाएगा
data नेटवर्क पर सामान्य उपयोग के दौरान स्वेच्छा से transmit हो रहा है
किसी system को personal data उजागर करने के लिए trick नहीं किया गया, जबकि ऐसा करना — चाहे hacking मामूली ही क्यों न हो — अक्सर अवैध होता है
URL में सिर्फ
&reveal_privat_data=trueजैसा कुछ जोड़ना भी बिना अधिकार वाले data तक पहुँचने की स्पष्ट मंशा दिखाता है, इसलिए उसे अवैध माना जा सकता है, लेकिन यहाँ ऐसा भी कुछ नहीं हैडरावनी बात यह है कि यह कोई theoretical bug नहीं है
जैसा पोस्ट में भी कहा गया है, दूसरे UK carriers इसे पहले ही ठीक कर चुके हैं; यह implementation laziness का मामला है, और LTE rollout के समय से ही ECI leakage की ओर इशारा किया जाता रहा है
https://arxiv.org/abs/2106.05007—and जैसे papers भी हैं, और अगर public cell-tower database हो तो automated location mapping करना बहुत आसान है
यह भी बेहद दिलचस्प है कि caller call control messages, यानी SIP, को कैसे देख पा रहा था
क्या ऐसे messages handset, base station और MME के बीच encrypted GRE tunnel के अंदर नहीं जाते? अगर GRE tunnel encryption तोड़ी जा सकती है तो यह बहुत बड़ा hole होगा, हालांकि शायद मूल पोस्ट का लेखक अपने ही device पर analysis चलाकर यह कर पा रहा हो
फिर भी encryption से पहले payload दिख जाना चौंकाने वाला है
Qualcomm chips वाले कई Android devices USB के ज़रिए modem diagnostic port expose कर सकते हैं, इसलिए rooted device की भी ज़रूरत नहीं पड़ती
हालांकि laptop लेकर घूमने से कहीं आसान है कि device पर rooted NSG इस्तेमाल किया जाए
modem diagnostic port ऑन करने के बाद Scat(https://github.com/fgsect/scat) इस्तेमाल करें, तो network के साथ आने-जाने वाला लगभग सारा signaling traffic देखना काफी आसान हो जाता है
कम-से-कम app का free version कुछ भी “decrypt” करता हुआ नहीं लगता, लेकिन उसके पास root privileges और modem access है, इसलिए वह इस तरह के logs पढ़ सकता है
इससे bands बंद करने या किसी खास cell tower पर lock करने की कोशिश भी की जा सकती है, इसलिए अगर आप dedicated 4G/5G router की तरह mobile data को मुख्य internet connection के रूप में इस्तेमाल करना चाहते हैं, तो यह उपयोगी है
GTP tunnel eNodeB और core network के बीच होती है, और तभी protected होती है जब वह IPsec के अंदर चल रही हो
O2 अब दावा कर रहा है कि समस्या ठीक कर दी गई है: https://www.ispreview.co.uk/index.php/2025/05/o2-uk-fixes-vo...
उसमें लिखा है: “O2 ने email से संपर्क कर पुष्टि की कि यह समस्या ठीक कर दी गई है। हमने खुद verify किया, और vulnerability अब resolve हुई लगती है”
ज़रा सोचिए, इतना sensitive data रखने वाला database इतने समय तक, वह भी शायद किसी को बताए बिना, जानबूझकर unprotected छोड़ा गया था
ICO इसे कैसे handle करेगा, यह देखना दिलचस्प होगा
यह काफ़ी गंभीर समस्या लगती है
फ़ोन को root करके NSG इंस्टॉल करने के बाद यह जानकारी देखना मुश्किल नहीं है
O2 यूके का सबसे बड़ा mobile network भी है और सरकार के साथ इसके contracts भी हैं
जवाब न देना निराशाजनक है, लेकिन चौंकाने वाला नहीं
लगता है O2 अंदर से बुरी तरह अव्यवस्थित है, और जो चीज़ें स्टोर में कोई तुरंत ठीक नहीं कर सकता, उन्हें सुलझाने में बहुत समय लगता है
उदाहरण के लिए number porting errors जैसी चीज़ें
सिस्टम पुराने लगते हैं, कुछ user segments अब भी VoLTE इस्तेमाल नहीं कर सकते, नया 5G SA voice support नहीं करता, और लगता है यह n28 पर ज़रूरत से ज़्यादा निर्भर है, इसलिए कई मामलों में धीमा है
CTO ने ब्लॉग में लिखा कि “vanity metrics से आगे बढ़ना चाहिए”, जबकि आम तौर पर data performance के मामले में यह सबसे खराब networks में से एक है
[0] https://news.virginmediao2.co.uk/leaving-the-vanity-metrics-...
समझ नहीं आता कि O2 अब तक कारोबार कैसे चला रहा है
यह बहुत बड़े अंतर से सबसे खराब network है, और दयनीय backhaul स्थिति वाले Three से भी बदतर है
मेरे पास EE SIM के साथ O2 SIM होने की एकमात्र वजह Priority tickets और O2 venues के अंदर signal है
लेकिन इसके लिए नया SIM और compatible फ़ोन चाहिए, और अनुभव का फ़र्क पूरी तरह अलग स्तर का है
O2 network इस्तेमाल करने वाला giffgaff दावा करता है कि वह O2 के physical network के ऊपर अपना service implementation इस्तेमाल करता है, इसलिए उस पर असर नहीं पड़ता
यह सच हो सकता है, लेकिन अब जब पता है कि दोनों एक ही कंपनी के मालिकाना हक़ में हैं, तो integration की संभावना काफ़ी ज़्यादा लगती है, इसलिए थोड़ा संदेह होता है
अगर कोई giffgaff SIM के साथ इसे reproduce करके देखे, तो उसका नतीजा जानना अच्छा होगा
जहाँ तक मुझे याद है, Telefónica ने 2006 में O2 को acquire किया था, और 2009 में Giffgaff को नए brand के रूप में लॉन्च किया था
समझ नहीं आता कि वे अलग नतीजे तक कैसे पहुँचे
क्या VoLTE बंद करने से इससे बचाव हो सकता है? iPhone 11 पर इसे बंद करने के बारे में मैंने online docs देखे थे, लेकिन मेरे iPhone 15 में वह option नहीं है
इसलिए लगता नहीं कि इससे कोई फ़ायदा होगा