O2 VoLTE: Standortverfolgung aller Kunden mit nur einem Anruf möglich

 (mastdatabase.co.uk)
2 Punkte von GN⁺ 2025-05-18 | 1 Kommentare | Auf WhatsApp teilen
  • Beim VoLTE-Dienst (4G Calling) von O2 UK wurde entdeckt, dass Standortinformationen des Gesprächspartners und Gerätekennungen mitgesendet werden
  • In IMS-Signalisierungsnachrichten sind sensible Daten wie IMSI, IMEI und Cell ID enthalten, die sich von außen leicht empfangen lassen
  • Mithilfe öffentlich verfügbarer Crowdsourcing-Daten (z. B. cellmapper.net) lässt sich aus diesen Informationen der genaue Standort ermitteln
  • Diese Schwachstelle betrifft alle O2-Kunden, sodass jeder zum Angriffsziel werden kann
  • Nutzer oder gewöhnliche Kunden haben keine Möglichkeit, diese Offenlegung selbst zu verhindern

Einführung

  • Voice over LTE (VoLTE) ist eine Technologie, die Sprachanrufe in Mobilfunknetzen über internetbasierte Protokolle ermöglicht
  • Das für VoLTE verwendete IP Multimedia Subsystem (IMS) kann durch seine Komplexität und Probleme bei der Interaktion zwischen Geräten Sicherheitsrisiken verursachen
  • Da jeder Netzbetreiber die Konfiguration der IMS-Server und die Implementierung der Dienste individuell festlegen kann, besteht bei Konfigurationsfehlern das Risiko von Datenlecks
  • Dieses Dokument analysiert einen Fall, in dem O2 UK genau solche Sicherheitsbedenken in der Praxis verursacht hat

Stand des IMS/VoLTE-Dienstes von O2 UK

  • Am 27. März 2017 startete O2 UK mit 4G Calling seinen ersten IMS-basierten Dienst, um während Anrufen bessere Sprachqualität und eine bessere Datennutzung zu bieten
  • Der Autor nutzte zur Messung der Anrufqualität die App Network Signal Guru (NSG) auf einem gerooteten Google Pixel 8
  • Wegen der Einschränkungen der App analysierte er direkt rohe IMS-Signalisierungsnachrichten, um die während eines Anrufs ausgetauschten Detailinformationen zu prüfen

Problempunkte in den Signalisierungsnachrichten

  • Die IMS-Signalisierungsantworten von O2 UK enthalten im Unterschied zu anderen Netzbetreibern sehr detaillierte und lange Informationen
  • Neben IMS-/SIP-Serverinformationen, Versionen, Fehlern und Debug-Logs sind auch die folgenden sensiblen Header enthalten
    • zwei Paare von IMSI
    • zwei Paare von IMEI
    • Cellular-Network-Info: Empfängernetz, Standortcode, Cell ID usw.
  • Durch den Vergleich der IMSI-, IMEI- und Cell-ID-Werte in den Nachrichten wurde bestätigt, dass auch Informationen des Gesprächspartners (Empfängers) mit enthalten sind

Standortverfolgung über die Cell ID

  • Durch das Dekodieren des Headers Cellular-Network-Info werden Netzbetreiber des Empfängers, Location Area Code (LAC) und Cell ID offengelegt
  • Diese Cell ID kann in Dienste wie cellmapper.net eingegeben werden, um den Standort der Basisstation präzise zu bestimmen
  • In dicht besiedelten Gebieten wie Städten ist die Abdeckung einer Basisstation oft auf weniger als 100 m² begrenzt, wodurch eine entsprechend sehr präzise Standortbestimmung möglich ist
  • In der Praxis funktionierte diese Methode sogar, wenn sich O2-Kunden im Ausland im Roaming befanden, sodass ihr Standort bis ins Stadtzentrum hinein bestimmt werden konnte
  • Diese Informationen werden ohne spezielle Hardware oder besondere Verfahren auf allen O2-Endgeräten offengelegt, die IMS-Anrufe unterstützen

Erforderliche Verbesserungen

  • O2 muss aus IMS-/SIP-Nachrichten sensible Header (Standort- und Geräteinformationen) entfernen, um die Privatsphäre und Sicherheit der Kunden zu schützen
  • Auch für Debugging gedachte Header sollten deaktiviert werden, da sie zu unnötiger Offenlegung von Informationen führen können
  • Dass solche Header auf Endgeräten außerhalb des Netzwerkkerns sichtbar sind, ist nicht vertretbar
  • Dass O2 keinen internen Meldeweg für Sicherheitsprobleme hat, ist im Vergleich zu anderen Netzbetreibern (z. B. EE) ein ernstes Problem

Fazit

  • Für O2-Kunden besteht das Risiko, dass jeder mit grundlegenden Kenntnissen über Mobilfunknetze ihren präzisen Standort verfolgen kann
  • Selbst wenn Nutzer 4G Calling deaktivieren, wird die Offenlegung sensibler Informationen nicht verhindert und kann daher nicht eigenständig unterbunden werden
  • Auch wenn ein Gerät nicht mit dem Netz verbunden ist, bleiben Informationen zur zuletzt verbundenen Funkzelle und zum Zeitpunkt der Verbindung weiterhin in IMS-Nachrichten enthalten
  • Am 26. und 27. März 2025 wurde der betreffende Sachverhalt und das Risiko mehrfach per E-Mail an die für O2 zuständigen Sicherheitsverantwortlichen und den CEO gemeldet, ohne nennenswerte Reaktion oder Verbesserung

Referenz

Änderungshistorie

  • Stand 18. Mai 2025, 23:40 Uhr: In den ursprünglichen Artikel wurde die fehlerhafte O2-Sicherheitsmeldeadresse korrigiert (virginmedia.co.uk → virginmediao2.co.uk)

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-05-18
Hacker-News-Kommentare
  • Am 26. und 27. März 2025 wurde O2 per E-Mail über dieses Verhalten und das Datenschutzrisiko informiert, aber bislang gab es weder eine Antwort noch eine Änderung des Verhaltens, eine wirklich enttäuschende Reaktion; auch dass eine Virgin-Media-Adresse der nächstliegende Kontakt ist, wirft Fragen auf, und dass https://www.o2.co.uk/.well-known/security.txt statt eines 200er-Responses einen 404 liefert, ist ebenfalls problematisch; unter solchen Umständen ist eine Veröffentlichung nachvollziehbar, zugleich stellt sich die Frage, ob eine Stelle wie das NCSC das Problem besser hätte vermitteln können
    • Tatsächlich wurde die E-Mail-Adresse falsch angegeben; es hätte @virginmediao2.co.uk statt @virginmedia.co.uk heißen müssen, also ein Tippfehler; dieser Punkt soll im Artikel korrigiert werden
    • In der Datenschutzerklärung (eine GDPR-Pflichtangabe) stehen mehrere E-Mail-Adressen, zum Beispiel DPO@o2.com; möglicherweise schaut dort zumindest jemand hinein, siehe https://www.o2.co.uk/termsandconditions/privacy-policy
  • Früher hatte O2 eine E-Mail-Adresse für Responsible Disclosure, aber die wurde vor ein paar Jahren abgeschafft; das Security-Team war früher wirklich hervorragend, aber als letztes Jahr wegen eines Problems eine Mail geschickt wurde, war davon nichts mehr übrig
    • Das zuständige Team bei O2 wurde darüber wohl bereits informiert, hat aber entweder gar nichts unternommen oder nur unzureichend reagiert
  • Dieser Bug ist nicht bloß ein theoretischer Bug, sondern ein Problem, das durch Nachlässigkeit in der Umsetzung entstanden ist; andere britische Netzbetreiber haben das bereits gelöst, das Leaken von ECI wurde schon seit den frühen Tagen der LTE-Einführung diskutiert, und dank offener Mast-Datenbanken ist automatisches Location-Mapping ohnehin sehr einfach, siehe die Arbeit dazu: https://arxiv.org/abs/2106.05007
  • Wirklich interessant ist, dass das in den meisten rechtlichen Betrachtungen nicht als Hacking eingestuft würde; diese Daten verlassen das Netzwerk freiwillig und im regulären Betrieb, das System wurde also nicht getäuscht, um unrechtmäßig an Daten zu gelangen; wenn man etwa "&reveal_privat_data=true" an eine URL anhängen würde, läge eine klare Absicht und damit eher Rechtswidrigkeit vor, hier ist das jedoch nicht der Fall
    • Trotzdem handelt es sich um ein Datenleck; in Ländern wie dem Vereinigten Königreich mit entsprechenden Vorschriften könnte das sofort meldepflichtig gegenüber der Aufsicht sein oder Bußgelder nach sich ziehen
    • Wenn man bedenkt, wie weitreichend der Computer Misuse Act gefasst ist, ist das womöglich doch nicht so unkompliziert, wie es zunächst scheint
  • Ich frage mich wirklich, wie der Anrufer die Call-Control-Nachrichten (z. B. SIP) sehen konnte; ich dachte, diese Nachrichten lägen in einem verschlüsselten GRE-Tunnel zwischen Handset und Basisstation (MME); falls jemand die Verschlüsselung dieses GRE-Tunnels aufgebrochen hat, wäre das eine massive Sicherheitslücke; vermutlich analysiert der OP das auf seinem eigenen Gerät, aber selbst dann ist es erstaunlich, dass man den Payload vor der Verschlüsselung sehen kann
    • Ich bin der Editor des Artikels; die meisten Android-Geräte mit Qualcomm-Chip bieten eine Option, den Modem-Diagnose-Port per USB freizugeben, ganz ohne Root; ich nutze NSG lieber auf einem gerooteten Gerät, weil das deutlich bequemer ist, als ständig einen Laptop mit sich herumzutragen; mit Scat (https://github.com/fgsect/scat) und aktiviertem Modem-Diagnose-Port lässt sich der gesamte Signalisierungsverkehr einsehen
    • Ich nutze ein gerootetes Android-Smartphone und die App Network Signal Guru (https://play.google.com/store/apps/details?id=com.qtrun.QuickTest); in der kostenlosen Version wird nichts tatsächlich „entschlüsselt“, aber mit Root-Rechten und Modem-Zugriff kann man solche Logs lesen; man kann bestimmte Bänder deaktivieren oder das Gerät zwingen, sich nur mit bestimmten Zellen zu verbinden, was praktisch ist, wenn man es nur für Daten verwendet
    • Viele Carrier konfigurieren SIP-Signalisierung für VoLTE zwar als IPsec-Transport, der am P-CSCF endet, aber die meisten (oder alle) setzen IPsec nur auf Integritätsschutz
    • Korrektur: nicht GRE, sondern GTP
    • Gemeint war wohl ein GTP-Tunnel; GTP-Tunnel arbeiten zwischen eNodeB und Core Network und sind nur innerhalb von IPSEC abgesichert
  • Es ist erstaunlich, dass O2 überhaupt noch im Geschäft ist; das Netz ist deutlich schlechter als das der anderen, sogar schlechter als Three mit seinen massiven Backhaul-Problemen; der einzige Grund, warum ich eine O2-SIM habe, sind Priority-Tickets und der Empfang in deren Veranstaltungsorten
    • Wenn man Zugang zum 5G-Standalone-Netz bekommt, wird es deutlich besser; dafür braucht man allerdings eine neue SIM und ein kompatibles Handy, der Unterschied ist klar spürbar
  • Ich halte das für ein ziemlich ernstes Problem; ein Handy zu rooten und NSG zu installieren, um diese Informationen zu sehen, ist nicht besonders schwer; O2 ist außerdem der größte Mobilfunkanbieter im Vereinigten Königreich und hat auch Verträge mit der Regierung; dass sie nicht antworten, ist enttäuschend, aber auch nicht überraschend; intern scheint O2 ziemlich chaotisch zu sein; alles, was sich nicht im Shop lösen lässt, dauert extrem lange (zum Beispiel Probleme beim Rufnummernportieren), die Systeme sind veraltet, manche Kunden können noch immer kein VoLTE nutzen, 5G SA unterstützt keine Sprachanrufe und hängt oft übermäßig an n28, wodurch es langsam wird; der CTO bloggt sinngemäß darüber, „Vanity Metrics hinter sich zu lassen und sich auf das Wesentliche zu konzentrieren“, aber bei der Datenqualität landet O2 trotzdem immer auf dem letzten Platz, siehe https://news.virginmediao2.co.uk/leaving-the-vanity-metrics-behind-and-focusing-on-what-matters-customer-experience/
    • Langsam frage ich mich, ob sie keine EU-Roaming-Gebühren berechnen, weil ihnen schlicht das Billing-System dafür fehlt
  • Ich frage mich, ob man das Problem verhindern kann, indem man VoLTE abschaltet; beim iPhone 11 habe ich eine Möglichkeit gefunden, es zu deaktivieren, aber beim iPhone 15 gibt es diese Option nicht
    • Selbst wenn man 4G Calling (VoLTE) deaktiviert, werden diese Header weiterhin offengelegt, und selbst wenn das Gerät ausgeschaltet ist, sind Standort und Zeitpunkt der zuletzt verbundenen Zelle weiterhin sichtbar; das bringt also nichts
    • O2 UK unterstützt VoLTE für ältere Prepaid-Kunden (PAYG) nicht, sondern nur für Vertragskunden; im Moment wirkt das fast wie ein Glücksfall
  • Ich kenne mich mit IMS nicht aus, aber müsste man ein Gespräch nicht lange genug aufrechterhalten, damit solche Debug-Header übertragen werden, so wie bei einer Gesprächsverfolgung im Spionagefilm? Falls ja, könnte man sich vielleicht schützen, indem man unbekannte Nummern einfach nicht annimmt; andererseits wäre man genauso exponiert, wenn jemand mit bekannter Nummer anruft
    • Solche Informationen sind dem Netzwerk wahrscheinlich schon bekannt, bevor der Anruf überhaupt verbunden wird; vermutlich handelt es sich um Debug-Header, die auch zur Fehlersuche bei nicht zustande kommenden Verbindungen benötigt werden; wenn das so stimmt, wird sogar bei ausgeschaltetem Gerät die zuletzt verwendete Zelle mitgeliefert
    • IMS ist im Grunde einfach ein SIP-Core plus mehrere Gateways plus die grundlegende LTE-Infrastruktur (zum Beispiel eNodeB, PCRF usw.); die Signalisierungsnachrichten sind dabei schlicht SIP-Nachrichten; wenn solche Header bereits in SIP 180 Ringing und Ähnlichem enthalten sind, könnten die Informationen sogar offengelegt werden, ohne dass der Anruf angenommen wird; erklärt aus Erfahrung mit realen IMS-Deployments bei Carriern
  • Ich frage mich, ob O2 NZ das gleiche Problem hat; ich bin letzte Woche wegen unbegrenztem Roaming in Australien und VoLTE-Anrufen dorthin gewechselt
    • Wahrscheinlich ist das Problem auf O2 UK beschränkt