電話一本でO2ユーザーの位置がわかる!?VoLTEの脆弱性
引用元:https://news.ycombinator.com/item?id=44014046
O2のCEOとかセキュリティ担当に3月26日と27日にメールでこの挙動とプライバシーリスクを伝えたのに、まだ返事も対応もないってのはマジでひどいよね.
なんで一番近い連絡先が Virgin Media のアドレスなんだよ? https://www.o2.co.uk/.well-known/security.txt も200って返すべきなのに404だし.
はっきり言うと、向こうが何もしないなら公開するのは全然問題ないと思うんだけど、NCSCみたいなところがこういうの引き取ってくれたり(組織ともっとうまくやり取りできるかも?)するべきなのかな?って思っちゃうんだよね.
これ、完全にこっちのミスだったわ.連絡したメールアドレス、本当は@virginmediao2.co.uk で、@virginmedia.co.uk じゃなかったんだ.記事のタイプミスだね.
修正しとくよ.
もう一つ間違い見つけちゃったよ.
LAC 0x1003 (10進数:4009)になってるけど
これ、10進数だと 4099 が正しいはずだよ.
へー、どうやって気づいたの?
コンピューターと十分長く付き合ってるとね、2のべき乗が頭に入っちゃうんだよ… 0x1000 が 4096 より小さいなんてありえないからね 笑
読んでるときに頭の中で変換しちゃったんだよね.
おっと.サンキュー.
プライバシーポリシー(GDPRで義務付けられてるやつ)にいくつかメールアドレス載ってるよ.もしかしたらそっちなら誰か見てるかもね.例えば DPO@o2.com とか.このリンク見てみて. https://www.o2.co.uk/termsandconditions/privacy-policy
SARってやつを提出して、自分の名前に関わるものが社内でどう扱われてるか調べてもらう手もあるよ.あと、CMAが何か言ってくる場合に備えて、 https://www.openrightsgroup.org/ に前もって連絡しとくと、自分たちの立場を有利にできるかもね.
O2ってさ、前は責任ある情報公開用の窓口あったんだけど、数年前に無くなっちゃったんだよ.
俺が働いてた頃(ずいぶん前だけど)のセキュリティチームはマジで優秀だったのに.去年メールしたときには、みんな辞めちゃってたわ.
O2の担当チームにはマジで知らされてたらしいけど、明らかに何も対策しなかった(か、足りなかった)みたいね。
チームに何が起きたか知らないくせに、O2の無能な経営陣のことだって知らなさそうなのに、多様性のせいにするためだけに新しいアカウント作る時間無駄にしてるとかマジで想像してみてよ…
高確率でただのbotだよ。サンプルのプロンプト:”受動的攻撃的で反DEIな投稿に合うコメントを1つ選んで。元のコメントのIDと回答を返して。”
笑、たぶん空っぽのスペースに置き換えられたんだよ。多様性って金かかるけど、社員が全くいないのは安いからね。
どうやったら一番ランダムな話題にいつも政治を持ち込めるわけ?一番不適切な場所で鳴らすghetto blasterを持ってるみたいにさ。
公共の場所でムカつくレベルで音楽をかけるなら、それはクソみたいな音楽じゃなきゃいけないってルールに名前があるはず。
この問題の面白いところは、ほとんどの法域でハッキングとさえ言われない可能性が高いってこと。データはネットワークが通常の利用で自発的に送ってるんだ。システムが騙されて個人情報を漏らすわけじゃない。これは通常は違法になることが多いのにね。URLに例えば”&reveal_privat_data=true”みたいなのを付け加えるのだって意図があるから違法と見なされかねないのに、この件ではそういうのは一切ないんだ。
でもさ、これはデータ漏洩だよ。すぐに規制当局に報告しないと罰金とかになる(UKにそういうルールがあればね)。
たとえO2がEUの法域外でも、Denmarkの顧客に影響が出た例を示してたから、圧力をかけられると思うんだ。たぶんDenmarkのその通信会社は、O2がEU顧客のデータを保護できないなら、O2と相互接続できないかもね。
> この問題の本当に面白いところは、ほとんどの法域ではハッキングとすら見なされないだろうってことだよ
君は明らかにComputer Misuse Actがどれだけ広範か知らないね
> 君は明らかにComputer Misuse Actがどれだけ広範か知らないね
うん、全然知らないよ。でも、普通違法なハッキングって、許可されてない方法でデバイスにアクセスすることだろ。電話をかけること自体が問題じゃない限り、大丈夫なはず。自分のスマホのメモリからデータをダンプするのは、不正アクセスにはならないだろ。
もし変な電話かけたり、迷惑電話したり、位置情報取るためだけに電話してすぐ切ったりしたら、多分問題になるだろうけど。でも普通の電話で診断データをダンプするだけなら大丈夫なはず(弁護士じゃないけどね)。
> 自分のスマホのメモリからデータをダンプするのは不正アクセスにならないだろ。
> 普通の電話で診断データをダンプするのは大丈夫。
IANALだけど、UKのCMAやUSのCFAAみたいなハッキング法は、F12でソース見るのも違反になりうるくらい曖昧なんだよ [0]。O2からしたら、OPが彼らの内部診断データに不正にアクセスしたって主張できるかもね。俺たち技術者の意見は関係ない。
[0]: USでは、DOJが”good faith security research”を追求する被告は起訴しない方針に改訂したけど自己責任でね: https://www.justice.gov/archives/opa/pr/department-justice-a…
USとUK法はあまり詳しくないけど悪い話は聞く。”good faith security research”は別。悪意なくても全ての不正アクセスを取り締まる法律もある(悪い考えだけどね)。隣の悪い鍵を暴露するために押し入るのはダメだろ。通常、不正アクセスには意図的な行動が必要。不正ヘッダー追加や他人のクレデンシャルログインとか。普通の許可された使い方トラフィックのログだけじゃ十分じゃないはず。
合法的には、自分のスマホからの生のセルラートラフィックを見るためのツールを使うこと自体が、もう不正アクセスなんだ(多分ね)。有名な話だけど、ドイツではnmapがインストールされてるラップトップを持ち歩くのは違法なんだ。みんな(ラップトップ持っててnmapの使い方を知ってる人)はそれでもやってるけどね。それは、君が実際には何も犯罪を犯してないけど、彼らが君を気に入らない場合に捕まえることができる、そういう類の犯罪の一つだよ。
難しいよね、でも相手が反応しないときってどうする?
ただ情報を握りしめて、誰も見つけたり悪用したりしないのを願うだけ?
それとも、どうにかして彼らに直してもらおうとする?
キャリアと解決してくれて、皆に注意喚起ありがとう。注目が必要。
脆弱性を本名報告は怖い。大手テックは大丈夫でも、“レガシー”組織は感謝されず、訴えられたり [0]、スケープゴートに [1] される。
これがチリングエフェクトで、システムが安全じゃなくなるのを痛感。
[0]: https://www.cnbc.com/…
[1]: https://techcrunch.com/…
あなた自身が顧客なんだから、彼らを訴えることもできるんじゃないかな
すごいところは:これが机上の空論なバグじゃないってこと。他のUKネットワークはもう解決済みの、実装の手抜きなんだよ、記事にもあるようにね。ECIの漏洩はLTEが展開されて以来指摘されてる—https://arxiv.org/abs/2106.05007 みたいな論文を見て—そして、公開されてる基地局DBがあれば、自動化された位置マッピングなんて簡単だよ。
多分、これを使っていたセキュリティサービスから何をすべきか指示されるのを待って、パニックになってるんじゃないかな。
ヘッダーから漏れてる情報なんて、合法的な傍受でとっくに手に入る情報だよ。
もっとコメントを表示(1)
O2は問題はもう直ったって言ってるよ。https://www.ispreview.co.uk/index.php/2025/05/o2-uk-fixes-vo…見て。
記事が今朝アップデートされたって。
O2からメールきて問題解決したって。自分で確認したけど、脆弱性はたしかに解決したみたい。
彼らの声明には”Our engineering teams have been working on and testing a fix for number of weeks”ってあるね。”数週間”もセンシティブなデータを扱ってるデータベースが、誰にも知らせずに意図的に無防備に放置されてたなんて想像できる?ICOがどう対応するか興味深いね。
発信者がどうやって呼制御メッセージ(SIPとか)見れたのかすごく気になるね。だって、これらのメッセージは端末と基地局(MMEも)の間で暗号化されたGREトンネルに入ってるんじゃないの?GREトンネルの暗号を解けるなんて、超巨大な穴じゃん。たぶん、投稿者が自分のデバイスで解析してるからできたのかもしれないけど、それにしても暗号化前のペイロードが見れるなんて驚きだなあ。
こんにちは、記事の編集者だけど、ここで。Qualcommチップ搭載の多くのAndroid端末はUSB経由でモデム診断ポートを公開するオプションがあるから、root化した端末さえいらないんだ。場所を移動しながらラップトップ持ち歩くより、NSGをroot化端末で使う方がずっと楽なだけだよ。モデム診断ポートを有効にしてScat(https://github.com/fgsect/scat)を使うだけで、ネットワークとの間のすべてのシグナリングトラフィックを見れるんだ。
彼らはroot化したAndroid携帯とNetwork Signal Guruっていうアプリを使ってるんだよ(https://play.google.com/store/apps/details?id=com.qtrun.Quic…)。少なくとも無料版のアプリは何も”decrypt”してるようには見えないけど、root権限とモデムへのアクセスがあるからこれらのログを読めるんだ。専用の4G/5Gルーターみたいに、バンドを無効にしたり特定の基地局にロックしようとしたりもできるから、モバイルデータを通信手段として使いたい人には便利かもね。
多くの通信事業者はVoLTEのSIPシグナリングに、P-CSCFで終端するIPsecトランスポートを使うように設定してるけど、ほとんど(全部じゃないにしても)の業者はIPsecをインテグリティ保護のためだけに設定してるんだよ。
GTPトンネルのことだと思うな。GTPトンネルはenodebとコアネットワークの間にあるんだ。IPSECの中で動いてる場合にだけ安全だよ。
これ結構ヤバい問題っぽいね。スマホroot化してNSGで情報見るの難しくないし。O2はUK最大で政府とも契約あるのに、返事ないのはガッカリだけど驚きはしないかな。O2は内部めちゃくちゃみたいだし、店舗で直せないことの対応遅いし、システム古いし、VoLTE使えないユーザーいるし、新しい5G SAも問題多いし、CTOは強がり言ってるけどデータは最悪、みたいなね。[0] https://news.virginmediao2.co.uk/leaving-the-vanity-metrics-…
EUローミングで料金を取らないのは、彼らに課金システムがないからなんじゃないかって思い始めてるよ。
O2がどうやってまだビジネスやってるのか分からないわ – 圧倒的に最悪のネットワークだよ、ひどいバックホール状況のThreeでさえマシだもん。私がEEのに加えてO2 SIMを持ってる唯一の理由は、Priorityのチケットと彼らの会場での信号のためだけかな。
彼らの5G Standaloneネットワークにアクセスできれば、だいぶ良くなってるよ。でもそれには新しいSIMカード+対応する電話が必要なんだ。全然違うんだよね…
だからO2ネットワークを使ってるgiffgaffは、O2の物理ネットワークの上に独自のサービス実装があるから影響ないって主張してるみたいだね。
それは本当かもしれないけど、今は同じ会社に所有されてるのを知ってるからちょっと怪しいな、統合されてる可能性高いし。誰かgiffgaffのSIMでこれを再現してみたら、結果を知りたいところだな…
彼らはしばらく前からTelefónicaに所有されてるよ。確かTelefónicaが2006年にO2を買収して、2009年に新しいブランドとしてGiffgaffを立ち上げたんだ。
giffgaffネットワークでこれをテストしてみたんだけど、影響あるよ。どうして彼らが違う結論になったのか分からないな。
これってVoLTEをオフにすれば緩和できるの?オンラインでiPhone 11でのオフり方ドキュメント見つけたんだけど – 私のiPhone 15にはそのオプションがないんだ!
”4G Calling”をオフにしても、これらのヘッダーが見えなくなるわけじゃないんだって。もしデバイスが圏外になっても、これらの内部ヘッダーで最後に繋がってたセルと、それがいつだったかまで分かっちゃうらしい。だから、たぶん何も意味ないみたいだね。
O2 UKのイライラするところは、従来のプリペイド(pay-as-you-go)ユーザーにはVoLTEをサポートしてなくて、月額(pay-monthly)ユーザーだけなんだよね。でも、今となっては、なんか逆に良かったかなって思ってる。
いいね、願わくば8月に始まる彼らの大規模な3G停波より前だと良いけど。
IMS詳しくないけど、デバッグヘッダーが送られるには長く通話する必要があるなら、知らない番号からの電話に出ないことで対策できる?って思ったんだけど。
でも、番号知ってる友達とかには使われちゃうってのは分かってるんだ。
多分この情報は接続が確立される前からネットワーク側ではもう分かってるんじゃないかな。あれはデバッグヘッダーみたいだし、接続がちゃんと確立できない時に理由をデバッグするために必要なんだろうね。もし記事を正しく理解してたら、受信側の電話がオフになってても情報があって、その場合最後に分かってるセルが分かるみたい。
IMSってのは要はSIPコアと色々ゲートウェイがあって、ベースのLTEインフラ(eNodeBとかPCRFとか)と統合されてるだけなんだ。だから”シグナリングメッセージ”はただのSIPメッセージなんだよね。だから、あのやばいヘッダーがSIP 180 Ringingメッセージとかに含まれてるかどうか次第では、電話に出ないだけじゃ不十分かもしれない。
情報源:実際、ある電話会社でIMSのデプロイに携わってたからさ(この会社じゃないけどね)
ヘッダーは、通話を開始した後の下りすべてのメッセージに含まれてるんだって。SIP Inviteメッセージとか、100 Trying、180 Ringing、183 Session Progressの前にもね。もし十分素早く(あるいは攻撃者がやりそうな専用ソフトで自動化すれば)、呼び出し音が鳴る必要すらなくなる。
これは本当に良くないね。
それはヤバいね。違うPLMNに繋がってる相手も試してみたの?
これがNZのO2でも起きるのか気になるな。先週彼らに乗り換えたんだ、オーストラリアでの無料ローミングとVoLTE通話があるから。
それはどうかな。これ、たぶんO2 UKだけの話じゃない?
これってO2だけに影響あって、EEとかVFとか3には関係ないんだよね?
GDPRによれば、これ明らかに違法でしょ。加入者契約に発信者に位置情報共有する同意なんて含まれてないはずだよ。UKはEU離脱したからGDPRはもう適用されないけど、今の規制でも基本的な原則は変わってないって認識で合ってる?
専門家じゃないけど、UK GDPRが適用されるのは間違いないと思うな。実質EU版と同じらしいし。
https://ico.org.uk/for-organisations/data-protection-and-the…
うん、まだ有効だよ。終わったEUの法規は、UKが国内法にdiligently転換したから、ほとんど(全部?)明示的に撤廃されないとダメだったんだ。
もっとコメントを表示(2)
ネットワーク機能の誤設定っぽいものをUKにはプライバシーがないって意見の根拠にするの、ちょっと変じゃない?他のキャリアは同じ問題抱えてなさそうだし、企業や人がミスる事もあるでしょ。あと、Nigel FarageってBrexitで有名なあの人?約束と違う結果になったら逃げ出したっていう?あの人がUKのプライバシーと自由を救うとかウケるね(笑)
俺のUS ICでの経験から言うと、あいつら業界に都合よくデータ”leak”するよう”encourage”してくるんだよね。今回の件も全く同じ手口の匂いがする。
かもね。でも、警察とか政府機関とか公共団体がこのプロバイダ使ってること考えると、自分たちのデータをこんな風にだだ漏れさせるのは賢くないよな。あとさ、ここHNで君みたいなコメント読むの初めてじゃないんだよね。UK住みとしては、君たちが書いてることと、俺が毎日見て経験してることの間にズレがあるように感じるんだ。誰も何も言えないとか、ここが戦場みたいに見せてるけど…悪く取らないでほしいんだけど、他のニュースソースもチェックしてみるのをお勧めするよ。だって君のUKの見方、ちょっと”歪んでる”みたいだから。
戦略は君が思ってるよりちょっと複雑だよ。今回の”偶発的”な情報漏洩は、研究者が発見して開示したからこれで”修正”されるだろうね。言い逃れの余地は保たれるわけだ。このエクスプロイトで警察とか政府機関を追跡してた”悪いやつら”がいる可能性は低いよ。なぜなら、もしそうだったら、彼ら自身の通信が監視国家に活動を明らかにされて、家宅捜索や逮捕の対象になってたはずだからね。君が毎日見て経験してることは、たぶんP.R.C.の一般市民とそう大差ないだろう。彼らも監視国家で日常生活を送ることに満足していて、君たちのところより犯罪率が低く、似たような野放図な政府権力があるんだから。
でもP.R.C.では政府が好きじゃないって言うのは違法だけど、UKではイスラム教徒はネズミだからモスクを爆破するつもりだなんて言うのは違法だよ。そう、どこの国でも(USAも含めて)(North KoreaはSNSがないから除くけど)SNSの投稿で逮捕される可能性はある。でも、それはあまりにも単純化しすぎだね。どんな投稿で人が逮捕されてるか、誰も注意払ってないでしょ? だって、そうするとUKがこれを言ってる人たちが悪く見せたいほど悪く見えなくなっちゃうからさ。
