मोबाइल कैरियर उपयोगकर्ता की GPS लोकेशन जान सकते हैं

 (an.dywa.ng)
7 पॉइंट द्वारा GN⁺ 2026-02-01 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • iOS 26.3 ने cellular network को दी जाने वाली precise location data को सीमित करने वाला नया privacy feature पेश किया है
  • लेकिन telecom standard protocols (RRLP, LPP) के जरिए डिवाइस GNSS (GPS, GLONASS, Galileo, BeiDou) coordinates अपने-आप कैरियर को भेज सकता है
  • ये protocols control-plane पर काम करते हैं, इसलिए उपयोगकर्ता को दिखाई नहीं देते, और कुछ मीटर स्तर की precision रखते हैं
  • पहले DEA (अमेरिकी Drug Enforcement Administration) और Israel Shin Bet ने ऐसी तकनीक का उपयोग court order या surveillance system के जरिए location tracking के लिए किया है
  • Apple ने इस कदम से mass surveillance के एक रास्ते को बंद किया है, लेकिन उपयोगकर्ता को GNSS responses बंद करने और ऐसे प्रयास होने पर alert पाने की सुविधा भी मिलनी चाहिए

iOS 26.3 का नया location information restriction feature

  • iOS 26.3 ने cellular network की पहुँच वाली precise location data को सीमित करने वाला feature पेश किया
    • यह feature सिर्फ 2025 के बाद लॉन्च हुए Apple के अपने modem वाले devices पर उपलब्ध है
    • Apple का कहना है कि “cellular network, डिवाइस जिस cell tower से जुड़ा है उसके आधार पर लोकेशन का पता लगा सकता है”
  • cell tower आधारित location tracking की accuracy दर्जनों से सैकड़ों मीटर तक होती है, और यह पहले से जाना-पहचाना तरीका है

GNSS location data कैरियर तक पहुँचने का mechanism

  • cellular standards में ऐसे protocols built-in हैं जो डिवाइस की GNSS coordinates अपने-आप कैरियर को भेज सकते हैं
    • 2G·3G में इन्हें RRLP (Radio Resources LCS Protocol) और 4G·5G में LPP (LTE Positioning Protocol) कहा जाता है
    • जब network “GPS coordinates बताइए” जैसा अनुरोध भेजता है, तो डिवाइस उसका जवाब देता है
  • ये protocols control-plane पर काम करते हैं, इसलिए उपयोगकर्ता को दिखाई नहीं देते
    • इन्हें internal network layer में process किया जाता है, इसलिए सामान्य उपयोगकर्ता या apps इन्हें देख नहीं सकते
  • GNSS coordinates मूल रूप से डिवाइस के अंदर ही calculate होने वाली passive information हैं, जिन्हें बाहर भेजने की जरूरत नहीं होती
    • GNSS सड़क के संकेत पढ़ने जैसा है; किसने कब पढ़ा, यह बाहर किसी को पता नहीं चलना चाहिए

वास्तविक उपयोग के मामले

  • 2006 में अमेरिकी DEA ने court order (search warrant नहीं) के जरिए कैरियर से ‘ping’ request भेजकर मोबाइल फोन की GPS coordinates हासिल कीं
  • Israel Shin Bet ने GSS Tool का उपयोग कर सभी मोबाइल फोनों की लोकेशन को केंद्रीय रूप से ट्रैक किया
    • cellular antenna triangulation और GPS data को मिलाकर precise location पता की गई
    • मार्च 2020 में COVID-19 फैलने के दौरान इसे contact tracing के लिए इस्तेमाल किया गया, और संक्रमित लोगों के संपर्कों को SMS के जरिए quarantine सूचना भेजी गई
    • यह मामला दिखाता है कि ऐसी precise location data इकट्ठी की जा रही थी जो सिर्फ cell tower से संभव नहीं थी

अज्ञात हिस्से और संभावित जोखिम

  • यह निश्चित नहीं है कि DEA या Shin Bet ने RRLP/LPP का इस्तेमाल किया था या नहीं; किसी दूसरे protocol या backdoor की संभावना भी हो सकती है
  • विदेशी कैरियर इसे remotely दुरुपयोग कर सकते हैं या नहीं, यह भी स्पष्ट नहीं है
    • Saudi Arabia द्वारा SS7 protocol का उपयोग कर अमेरिका के भीतर उपयोगकर्ताओं की लोकेशन ट्रैक करने का मामला सामने आया था, लेकिन उसमें लोकेशन सिर्फ mobile switching center (MSC) स्तर तक ही पता चलती थी
  • telecom industry में security और ethics के निम्न स्तर को देखते हुए, यह संभावना पूरी तरह नकारी नहीं जा सकती कि state actors सिर्फ phone number या IMEI से GNSS coordinates हासिल कर लें

Apple के कदम और आगे की चुनौतियाँ

  • Apple ने modem hardware और firmware पर सीधे नियंत्रण के जरिए mass surveillance के एक रास्ते को ब्लॉक किया है
  • लेकिन उपयोगकर्ता को GNSS location response disable करने का विकल्प और कैरियर के location request प्रयास पर notification भी दिया जाना चाहिए
  • इसे उपयोगकर्ता privacy protection को और मजबूत करने की अगली कड़ी के रूप में देखा जा रहा है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-02-01
Hacker News की राय

  • मुझे नहीं लगता कि security state को हटाया जा सकता है
    इसके बजाय यूज़र को private information sharing बंद करने की सुविधा होनी चाहिए, और अगर कोई इसे आज़माए तो तुरंत notification और राहत के उपाय होने चाहिए
    अगर sharing पहले से बंद हो और फिर भी किसी ने technical loophole का इस्तेमाल करके access किया हो, तो जवाबदेही तय होनी चाहिए
    डेटा के साथ आग की तरह व्यवहार करना चाहिए। अगर आप इसे नियंत्रित नहीं कर सके, तो आखिर में आप खुद ही जलेंगे

    • नतीजा लाना है तो qualified immunity की अवधारणा खत्म करनी होगी
      यह बात बेतुकी है कि पुलिस, राजनेता, या सरकारी एजेंट कानून तोड़ें और उन पर कोई व्यक्तिगत जिम्मेदारी न हो
      अभी ढांचा ऐसा है कि सरकार पर मुकदमा करके टैक्स के पैसों से हर्जाना मिलता है, इसलिए असली दोषी के लिए कुछ नहीं बदलता
    • “security state” असल में एक surveillance system ही है
      इतनी शक्ति रखने वाली संस्थाएं जवाबदेह नहीं हो सकतीं। बाद में warrant या court oversight का कोई मतलब नहीं है
      डेटा के दुरुपयोग को रोकने के लिए तो उल्टा device से noise generate करना चाहिए
      इतना बेकार डेटा बहाया जाए कि पूरा सिस्टम ही प्रदूषित हो जाए
    • असल में GDPR पहले से यही काम कर रहा है
    • जब भी किसी technology पर कोई policy लागू करो, यह भी सोचो कि क्या वही चीज़ तुम्हारे दिमाग पर लागू हो तो ठीक लगेगी
      उदाहरण के लिए अगर तुम Neuralink इस्तेमाल कर रहे हो और तुम्हारा दोस्त ‘right to be forgotten’ मांग ले, तो कल्पना करो कि उससे जुड़ी यादें ही मिट जाएं

  • मुझे लगता है कि कम्युनिटी को Meshcore पर ज़्यादा बात करनी चाहिए
    यह LoRa-आधारित P2P network है, जिसमें सिर्फ text message भेजे जा सकते हैं, लेकिन हर hop अधिकतम 20km तक जा सकता है इसलिए coverage काफ़ी बड़ी हो सकती है
    hiking के दौरान भी संपर्क बनाए रखा जा सकता है
    Eastmesh map देखें तो यह पूरे ऑस्ट्रेलिया में फैलता दिख रहा है

    • Reticulum इनमें से बहुत-सी समस्याएं हल करता है
      encryption app level पर होता है और यह LoRa तक सीमित नहीं है, इसलिए कई transport methods के साथ compatible है
      यह WebSocket, TCP, UDP, non-LoRa radio आदि से connect हो सकता है, और JS·Arduino clients भी हैं
      message delivery policy को बारीकी से सेट किया जा सकता है, और PoW-आधारित anti-spam सुविधा भी है
    • ऐसे network छोटे पैमाने पर अच्छे लगते हैं, लेकिन जैसे ही malicious actors आ जाते हैं, इन पर हमला करना आसान हो जाता है
      Gnutella के उदाहरण की तरह, unmanaged P2P network की अपनी सीमाएं हैं
    • मेरी भी LoRa-आधारित mesh network में काफी दिलचस्पी है, लेकिन असल दूरी पर performance बहुत खराब है
      मैंने Midwest इलाके में test किया था और संचार सिर्फ लगभग 0.4km तक ही हो पाया
      जब तक ऊंचाई पर antenna nodes ज़्यादा न हों, यह practical नहीं लगता
    • Meshcore और Meshtastic की समस्या यह है कि encryption keys app से नहीं, device से बंधी होती हैं
    • LoRa की burst transmission nature को देखते हुए, मैं जानना चाहता हूं कि अगर कोई इसका इस्तेमाल करके RF direction finding करना चाहे तो उसकी लागत कितनी होगी

  • मैं 112 system programmer हूं, और location detection के कई स्तर होते हैं
    cell tower triangulation, subscriber address, और firmware द्वारा intercept किए गए GPS response messages जैसी चीज़ें शामिल हैं
    इस feature को implementation के बाद बंद भी किया जा सकता है

    • अमेरिका EU से अलग protocol इस्तेमाल करता है
      EU में यह private SMS format के साथ opt-in मॉडल है, लेकिन अमेरिकी 911 में remote activation संभव है
      112 को सिर्फ emergency call के दौरान काम करने के लिए design किया गया है
    • तुमने जो बताया, वह article के मुख्य बिंदु से अलग है
      article triangulation को मानकर चलता है, और UMTS/LTE command से GPS request करने की क्षमता पर चर्चा करता है
    • “इस feature को बंद किया जा सकता है” का मतलब यह नहीं था कि यूज़र खुद इसे बंद कर सकता था
      नई बात यह है कि अब Apple ने यूज़र को इसे बंद करने का option दिया है

  • iPhone Air, iPhone 16e, iPad Pro (M5) Wi‑Fi + Cellular पर
    iOS 26.3 या उससे ऊपर में precise location limiting feature को on या off किया जा सकता है
    Settings → Cellular → Data Options → SIM चुनें → Limit Precise Location में इसे बदला जा सकता है

    • Apple के आधिकारिक दस्तावेज़ के अनुसार
      अमेरिका में सिर्फ Boost Mobile इसे support करता है (लगभग 7.5 million subscribers)
      शायद 5G ज़रूरी होगा। roaming के दौरान भी यह काम करेगा या नहीं, यह जानना दिलचस्प होगा
      संबंधित संदर्भ: Boost Mobile wiki, 5G NR
    • अमेरिका में सबसे मज़बूत security वाला combo iPhone Air + Boost Mobile होना दिलचस्प है
    • अगर यह feature बंद कर दिया जाए तो क्या 911 emergency response पर असर पड़ेगा, यह जानना चाहूंगा
      fall detection जैसी automatic calling features को GPS चाहिए होता है, इसलिए disable होने पर दिक्कत हो सकती है
    • फिर भी cell site triangulation से location tracking संभव रहेगी
      आखिरकार सरकार किसी-न-किसी तरीके से location जान ही सकती है
      अगर पूरी anonymity चाहिए, तो शायद cash से खरीदा गया burner phone ही एकमात्र तरीका है

  • अमेरिकी सरकार भी data brokers से location data खरीदती है
    EFF article और
    HN link के अनुसार
    telecom companies real-time location data बेच रही हैं

    • समस्या यह है कि private companies के पास सरकार से भी ज़्यादा ताकत वाला ढांचा बन गया है
      जो काम सरकार सीधे नहीं कर सकती, वह कंपनियों को पैसे देकर करवा देती है
      आखिरकार private companies पर कड़े regulation की ज़रूरत है। बड़ी कंपनियां पहले ही quasi-government स्तर का प्रभाव रखती हैं

  • Ericsson जैसी base station equipment manufacturers मोबाइल की location जान सकती हैं
    और advertising या tracking companies के साथ मिलकर उस data का इस्तेमाल कर सकती हैं
    अंत में, अगर आपके पास मोबाइल है, तो चाहें तो आपकी location निकाली जा सकती है

    • लेकिन रास्ते हैं
      ① फोन घर पर छोड़ दें
      hardware switch से cell modem की power काट दें या उसे Faraday bag में रख दें
      ③ नागरिक मिलकर location tracking को गैरकानूनी बनवाएं
      privacy defeatism छोड़िए, और जो विकल्प संभव हैं उनका इस्तेमाल कीजिए
    • तो क्या इसका मतलब है कि Ericsson ने सारे RAN और Core equipment में backdoor डाल रखा है?

  • emergency response agencies पहले से ही accurate location retrieve करने वाले software का इस्तेमाल कर रही हैं
    यह कोई नई चीज़ नहीं है

    • यूज़र की सहमति के बिना यह नहीं होना चाहिए
      अगर telecom company की जगह Facebook रखकर सोचें, तो यह कितनी अजीब बात है, यह तुरंत साफ़ हो जाता है
    • मैंने New Mexico में search and rescue (SAR) में volunteer किया है
      हमें cell tower triangulation data तो मिला, लेकिन GNSS data कभी नहीं देखा
      इसकी जगह FindMeSAR से सीधे coordinates मिले
      अब consumer satellite messaging आम हो चुकी है, इसलिए हालात काफी बदल गए होंगे
    • फिर भी, क्या ऐसी location requests सिर्फ 911 call के दौरान ही संभव नहीं होनी चाहिए?

  • telecom company यूज़र के microphone को remotely activate भी कर सकती है

    • लेकिन ऐसे फोन भी हैं जिनमें hardware kill switch होता है
      वे microphone, camera, GPS की power को physically काट सकते हैं
    • मैं इस दावे का source मांगना चाहूंगा
    • मेरी telecom company को पता है कि मैंने किसे call या text किया, कौन-सी websites देखीं,
      और bank account·address·location जैसी लगभग हर चीज़
      वह DTMF signals से यह भी जान सकती है कि मैंने कौन-से buttons दबाए
    • मैं इन्हीं वजहों से Apple ecosystem को पसंद करता हूं
      hardware और software integrated होने की वजह से मुझे लगता है कि information leakage की संभावना कम होती है
    • क्या किसी को GrapheneOS के बारे में कुछ पता है?

  • e911 project के बाद से telecom company के लिए GPS location हासिल करना अनिवार्य था
    पहले voicemail waiting indicator को बार-बार reset करके cell tower movement path track किया जाता था
    इसे FBI की kidnapper tracking support के नाम पर किया गया था
    इसके अलावा priority calling, caller ID block override जैसे कई tags भी सेट किए जा सकते थे

  • यात्रा के दौरान मुझे जिन इलाकों में गया, वहीं के local area code spam calls अक्सर आने लगे
    telecom company से पूछा तो उन्होंने कहा कि वे location data नहीं बेचते, लेकिन इस पर भरोसा करना मुश्किल था
    हाल ही में company बदली तो यह सब बंद हो गया। हो सकता है कभी class action lawsuit भी हो
    GPS नहीं, सिर्फ cell tower information से भी यह काफी हद तक संभव है

    • लेकिन असल में IP-based ad networks द्वारा location tracking की संभावना और ज़्यादा है
      websites या apps में मौजूद shared analytics/ad SDKs location profile को update करते रहते हैं
    • मुझे भी telecom company से ज़्यादा ad networks पर शक है
      EFF का संबंधित article देखें
    • अगली बार VPN इस्तेमाल करके देखूंगा कि वही चीज़ फिर होती है या नहीं
    • कुछ लोगों ने यह भी कहा कि किस telecom company की बात है, इसे publicly name किया जाना चाहिए