Każdy kto zapłaci, może namierzyć dowolny telefon komórkowy
Jeżeli posiadacie telefon komórkowy, jego lokalizacja może być namierzona przez niemal każdego zainteresowanego waszym położeniem. Jak? Wcale nie potrzeba do tego jakiejkolwiek infekcji, ani zwracania się z prośbami o udostępnienie danych do operatorów komórkowych. Wystarczy odpowiednia opłata. Dziennikarze amerykańskiego Washington Post dotarli do informacji, które mogą wstrząsnąć osobami ceniącymi swoją prywatność. Każdy z telefonów komórkowych, niezależnie od używanego systemu może być namierzany. Wynika to z błędów konstrukcyjnych samych technologii projektowanych lata temu, kiedy to nie poświęcano zbyt wiele uwagi bezpieczeństwu. Korzystają na tym prywatne firmy, ale wykorzystać to mogą także cyberprzestępcy.
26.08.2014 | aktual.: 26.08.2014 14:09
Dziennikarze Washington Post dotarli do broszury firmy Verint, która opracowała oprogramowanie SkyLock. Firma ta zajmuje się podsłuchami. W jej ofercie znajdziemy całe gotowe platformy dla operatorów telekomunikacyjnych, a także zestawy przenośne do działania w terenie. Wiadomo, że z usług firmy skorzystało kilka tysięcy klientów w kilkudziesięciu krajach. Najprawdopodobniej są to różnego rodzaju służby i organy ścigania, niewykluczone jednak, że w podsłuchiwanie „bawią się” także duże korporacje i koncerny, tym bardziej, że wachlarz możliwości jest bardzo szeroki, a oferta Verinta to tylko jeden z przykładów na lokalizowanie telefonów.
Najciekawszym elementem jest wspomniany SkyLock. Oprogramowanie to pozwala na namierzanie telefonów komórkowych bez prowadzenia współpracy z samym operatorem. Jak? Wykorzystywane są błędy i niedoskonałości w standardzie SS7, który stanowi zbiór protokołów wykorzystywanych przez operatorów w sieciach telekomunikacyjnych. Został on stworzony w latach osiemdziesiątych, a w trakcie prac nad nim nie zdawano sobie sprawy z niektórych niebezpieczeństw, które teraz nie są niczym wyjątkowym. Możliwe również, że „dziury” powstały w nim w sposób celowy, właśnie z myślą o przyszłej inwigilacji użytkowników sieci GSM.
SkyLock swoim klientom daje do dyspozycji specjalną stronę internetową, gdzie po wpisaniu numeru telefonu otrzymują oni jego przybliżoną lokalizację. System wskazuje położenie z dokładnością od kilkuset metrów do nawet kilku kilometrów (w zależności od otoczenia i lokalizacji stacji bazowych GSM). Dane o lokalizacji pochodzą od samych operatorów – zbierają oni tego typu informacje zarówno o swoich telefonach jak i urządzeniach obcych korzystających z ich infrastruktury. Dane te są wymieniane w ruchu międzyoperatorskim i teoretycznie powinny być przekazywane na każde żądanie. W praktyce jednak filtrowanie nie jest skuteczne (a 75% firm w ogóle go nie stosuje) i dane o lokalizacji mogą być przesyłane także do osób trzecich. O tym, jak można przy pomocy odpowiednich komunikatów lokalizować telefony przekonała świat firma P1 Security w swojej prezentacji na konferencji Hackito Ego Sum.
Przechwytywanie tych danych jest najprawdopodobniej efektem uzyskania dostępu do sieci niektórych z operatorów. Firma Verint szacuje, że skuteczność jej platformy to 70% - biorąc pod uwagę wielkość systemów, ilość telefonów i sam fakt działania bez zgody operatorów, jest to bardzo dużo. Verint nie jest zresztą jedyną firmą, która oferuje tego typu rozwiązania. Panamska firma Defentek oferuje podobne usługi za sprawą swojego systemu o dosyć groźnej nazwie Infiltrator Global Real-Time Tracking System. Pamiętajmy także o tym, że wiele z form lokalizowania sprzętu zapewniają różnego rodzaju usługi: Google od dłuższego czasu oferuje w Androidzie historię lokalizacji, w ramach której śledzi nas bardzo dokładnie i informacje te zbiera na swoich serwerach. Podobne zadanie spełniają funkcje wyszukiwania zagubionego telefonu oferowane przez liczne aplikacje. Nie wiadomo, kto dokładnie ma dostęp do tych danych i czy nie są one wykorzystywane w niecnych celach.
Wielu z naszych czytelników mogło spotkać się już ze stronami internetowymi i wiadomościami email, które oferowały rzekome lokalizowanie dowolnego telefonu. Nie chodzi o tego typu „usługi”, które tak naprawdę okazują się zwykłym oszustwem: preparowane witryny internetowe nakłaniające użytkownika do podania numeru telefonu i przepisania „specjalnego kodu”, które w rzeczywistości są zezwoleniem na wysyłanie drogich, reklamowych wiadomości SMS. Przestrzegamy przed korzystanie z tego typu serwisów, bo nie sposób osiągnąć nic więcej, poza bezcelową utratą pieniędzy. Aby lokalizować telefon trzeba albo najpierw uzyskać do niego dostęp (np. zainfekować go szkodliwą aplikacją), albo wyłożyć znacznie większe pieniądze.
Jak można bronić się przed tego typu szpiegowaniem? Jedyna metoda to po prostu pozostawienie telefonu w domu gdy tylko wybieramy się w miejsca, gdzie nie chcemy być przez nikogo „podglądani”. Możemy również po prostu pogodzić się z tym, że jesteśmy cały czas szpiegowani przez wiele firm, rządów, a być może i przez indywidualne osoby. Technologia dała nam do ręki narzędzia wygodne, ale i bardzo niebezpieczne.