Ошибка в настройке программного обеспечения для работы VoLTE позволяла отслеживать местоположение десятков миллионов пользователей британской телекоммуникационной компании Virgin Media O2, включая клиентов Giffgaff и Tesco Mobile, подключённых к той же инфраструктуре.
уязвимость оставалась незамеченной до тех пор, пока её не раскрыл инженер Дэн Уильямс, после чего информация была передана в Управление по вопросам информационной безопасности Великобритании (ICO) и регулятор связи Ofcom.
Проблема затрагивала все устройства с активной функцией 4G-вызовов. Любой пользователь с SIM-картой Virgin Media O2 мог получить технические идентификаторы вызовов — коды зоны и идентификаторы сот — и на их основе определить, к какой базовой станции подключался вызываемый абонент. В густонаселённых районах, где соты располагаются очень близко — точность геолокации могла достигать до 100 квадратных метров.
Исследователь сообщил, что направил уведомление оператору ещё в марте, но ответа не получил вплоть до публикации блога в мае. Он выразил разочарование в реакции компании и подчеркнул, что его мотивом была безопасность, а не противостояние с оператором.
Virgin Media O2 заявила, что после уведомления быстро устранила проблему, а её эксплуатация требовала специальной технической подготовки. При этом оператор признал, что уязвимость могла существовать с момента внедрения программного обеспечения в 2023 году, но точную продолжительность её действия не указал.
В компании подчеркнули, что пользователи не должны предпринимать никаких действий, а свидетельств использования уязвимости за пределами технического блога специалиста не обнаружено. Представители добавили, что компрометации внешней сети не произошло, и вся информация была доступна только внутри самой инфраструктуры.
Уильямс провёл эксперимент, чтобы доказать масштаб угрозы: с помощью добровольца, также абонента O2, ему удалось определить его примерное местоположение в центре Копенгагена. По его словам, отключение функции 4G-вызовов могло бы устранить риск, однако на ряде устройств, включая iPhone, сделать это невозможно.
Оператор Giffgaff, также использующий инфраструктуру Virgin Media O2, отказался от комментариев. Tesco Mobile, чьи клиенты также могли быть затронуты, не предоставил никакого ответа на запросы.
Ofcom сообщил, что расследует инцидент и требует от оператора объяснений относительно причин и последствий проблемы. ICO, в свою очередь, заявило, что после оценки ситуации и предпринятых мер дополнительных действий предпринимать не будет.
https://www.securitylab.ru/news/559932.phpРазмещено через приложение ЯПлакалъ
yaplakal.com