O2 VoLTE: Ein einziger Anruf reicht, um den Standort aller Kunden zu verfolgen
(mastdatabase.co.uk)- In der Implementierung von 4G Calling/WiFi Calling bei O2 UK gab es ein Problem, durch das der Anrufer IMS/SIP-Header erhielt, die zur Abschätzung des Standorts des Angerufenen genutzt werden konnten; diese Offenlegung betraf über mehrere Monate hinweg alle O2-Kunden
- IMS-Signalisierungsnachrichten enthielten zusammen mit dem IMS/SIP-Server von O2, Mavenir UAG, dessen Version, Debug-Informationen und Fehlermeldungen auch die IMSI und IMEI von Anrufer und Angerufenem sowie die
Cellular-Network-Infodes Angerufenen - Zerlegt man den
utran-cell-id-3gpp-Wert inCellular-Network-Infoin PLMN, Location Area Code und Cell ID und gleicht ihn mit öffentlichen Mobilfunkmastdaten wie Cellmapper ab, lässt sich der ungefähre Standort des Angerufenen ermitteln - In Städten betreuen an Straßenlaternen installierte small cells oft nur sehr kleine Bereiche, wodurch die Standortschätzung deutlich präziser wird; selbst O2-Kunden im Auslandsroaming ließen sich so bis ins Zentrum von Kopenhagen eingrenzen
- Das Deaktivieren von 4G Calling und WiFi Calling verhindert die Standortoffenlegung, aber die Offenlegung von IMEI und IMSI bleibt unabhängig vom IMS-Registrierungsstatus bestehen; O2 muss die betreffenden Header daher aus IMS/SIP-Nachrichten entfernen
Standort-Hinweise aus IMS-Anrufen
- Voice over LTE (VoLTE) verwendet den Standard IP Multimedia Subsystem (IMS), um Sprachanrufe in Mobilfunknetzen über internetbasierte Protokolle abzuwickeln
- IMS-Implementierungen sind komplex und stark geräteabhängig; früher benötigten manche Geräte sogar eine bestimmte Firmware, um VoLTE und WiFi Calling nutzen zu können
- Mobilfunknetze entscheiden selbst, wie sie IMS-Dienste implementieren und welche Einstellungen sie verwenden; das Telefon kommuniziert direkt mit den entsprechenden Servern
- In dieser Struktur liegt es in der Verantwortung des Mobilfunknetzes, die Server aktuell zu halten und sicherzustellen, dass Konfigurationen nicht zu unnötiger Datenoffenlegung führen
Überprüfung von O2 UK 4G Calling
- O2 UK führte am 27. März 2017 mit 4G Calling seinen ersten IMS-Dienst ein
- Der Dienst sollte die Sprachqualität verbessern und die Datennutzung während eines Gesprächs verbessern, da nicht auf 3G zurückgefallen werden musste
- Nach dem Wechsel zu O2 wollte der Forscher prüfen, welche Sprach-Codecs bei 4G/WiFi Calling unterstützt werden
- Auf einem gerooteten Google Pixel 8 wurde Network Signal Guru (NSG) verwendet, um ein anderes O2-Konto auf einem 4G-VoLTE-kompatiblen Gerät anzurufen
- Wegen eines NSG-Bugs im Samsung-Modem aktueller Google-Pixel-Geräte wurde der aktuell verwendete Anruf-Codec im VoLTE-Bereich nicht automatisch angezeigt; stattdessen wurden die rohen IMS-Signalisierungsnachrichten zwischen Gerät und Netzwerk untersucht
Sensible Header in IMS/SIP-Nachrichten
- Die Netzwerkantworten waren im Vergleich zu anderen beobachteten Netzen ungewöhnlich detailliert und lang
- Die Nachrichten enthielten den von O2 verwendeten IMS/SIP-Server Mavenir UAG samt Versionsnummer
- Außerdem wurden Fehlermeldungen aus dem C++-Dienst zur Verarbeitung von Anrufinformationen sowie weitere Debug-Informationen offengelegt
- Besonders auffällig waren am Ende der Nachrichten Header dieses Typs
P-Mav-Extension-IMSI: zwei IMSIsP-Mav-Extension-IMEI: zwei IMEIsCellular-Network-Info: Zellinformationen des Angerufenen
- Der Abgleich von IMSI und IMEI mit den Geräteinformationen des Forschers zeigte, dass nicht nur die Daten des Anrufers, sondern auch die IMSI und IMEI des Angerufenen enthalten waren
So wird mit Cellular-Network-Info der Standort berechnet
- Der Präfix
3GPP-E-UTRAN-FDDim Wert vonCellular-Network-Infozeigt an, dass sich die Zelldaten auf 4G beziehungsweise offiziell E-UTRAN FDD beziehen - Der nachfolgende Wert
utran-cell-id-3gppbesteht aus drei Teilen- Die ersten 5–6 Zeichen sind das PLMN des Netzes des Angerufenen
- Die nächsten 4 Zeichen sind der hexadezimale Location Area Code (LAC) des Angerufenen
- Die letzten 7 Zeichen sind die hexadezimale Cell ID des Angerufenen
- Der letzte Abschnitt gibt das Alter der Daten in Sekunden an
- Er ist vorhanden, wenn das Gerät aktuell nicht mit dem Netz verbunden ist, keinen Empfang hat oder auf WiFi Calling angewiesen ist
- Im Beispiel ließ sich daraus ableiten, dass der Angerufene im O2-Netz
234-10eingebucht war, sich in LAC0x1003mit Cell ID0x7a60773befand und ein Google Pixel 9 mit O2-SIM nutzte
Standortschätzung mit öffentlichen Mobilfunkmastdaten
- Die Cell ID kann in den cell ID calculator von Cellmapper eingegeben werden, um die zugehörige Site-ID zu berechnen
- Anschließend lässt sich auf der Cellmapper-Karte die zugehörige Station finden und die zum Zeitpunkt des Anrufs genutzte Makrozelle bestimmen
- Makrozellen decken vergleichsweise große Bereiche ab, doch in dicht bebauten Stadtgebieten werden viele kleine Zellen eingesetzt
- small cells werden teils direkt an Straßenlaternen montiert
- Jede Station kann einen Bereich von nur 100 m² abdecken
- Derselbe Angriff wurde auch an einem anderen O2-Kunden im Auslandsroaming getestet und erlaubte eine Eingrenzung auf das Stadtzentrum von Kopenhagen in Dänemark
- Das Gerät des Forschers führte dabei keine besonderen Aktionen gegenüber dem Netz aus, sondern machte lediglich die an das Gerät gesendeten Informationen sichtbar
- Ein O2-Gerät, das per IMS, also über 4G Calling oder WiFi Calling, anruft, kann Informationen erhalten, die zur Abschätzung des geografischen Standorts des Gesprächsempfängers genutzt werden können
Header, die O2 entfernen muss, und mögliche Gegenmaßnahmen für Nutzer
- O2 sollte die hervorgehobenen Header aus allen IMS/SIP-Nachrichten entfernen, um die Privatsphäre und Sicherheit seiner Kunden zu schützen
- Es wäre auch logisch, die Debug-Header zu deaktivieren
- Kein Gerät außerhalb des Netzwerkkerns sollte diese Header sehen können
- Debug-Header könnten unbeabsichtigt zusätzliche Informationen preisgeben
- Der Wettbewerber EE bietet einen Meldeweg über BT responsible disclosure an, bei O2 fehlt jedoch ein klarer Eskalationsweg, um solche potenziellen Angriffsvektoren zu melden
- Am 26. und 27. März 2025 wurden E-Mails an O2-CEO Lutz Schüler und an
securityincidents@virginmediao2.co.ukgeschickt, um auf dieses Verhalten und das Datenschutzrisiko hinzuweisen, doch es gab weder eine Antwort noch eine Verhaltensänderung - Wer 4G Calling und WiFi Calling vollständig deaktiviert, kann den Teil der Standortoffenlegung wirksam verhindern
- Der Header
Cellular-Network-Infowird nur gesendet, wenn das Gerät des Angerufenen antwortet - Die Offenlegung von IMEI und IMSI tritt jedoch unabhängig vom IMS-Registrierungsstatus weiterhin auf
- Der Header
- In einer Korrektur vom 27. Mai 2025 wurde ergänzt, dass ursprünglich keine Möglichkeit zur Abschwächung der Standortoffenlegung genannt wurde; nach weiterer Prüfung der IMS-Signalisierung und der Übertragung von Geräte-Headern wurde dies korrigiert: Das Deaktivieren von 4G Calling und WiFi Calling mindert den Teil der Standortoffenlegung
1 Kommentare
Hacker-News-Kommentare
Dass man den O2-CEO und die E-Mail-Adresse für Sicherheitsvorfälle am 26.–27. März 2025 auf dieses Verhalten und das Datenschutzrisiko hingewiesen hat und es trotzdem weder eine Antwort noch eine Veränderung gab, ist wirklich miserabel
Warum eine Virgin-Media-Adresse überhaupt noch am ehesten als bester Kontakt gilt, ist ebenfalls fragwürdig, und https://www.o2.co.uk/.well-known/security.txt sollte 200 statt 404 zurückgeben
In so einer Situation halte ich eine Offenlegung für unproblematisch, aber vielleicht könnte das NCSC solche Fälle unter bestimmten Bedingungen übernehmen und auch besser mit der Organisation kommunizieren
Die kontaktierte E-Mail war nicht @virginmedia.co.uk, sondern @virginmediao2.co.uk, und im Beitrag stand ein Tippfehler
Wir werden das korrigieren und aktualisieren
Zum Beispiel könnte jemand DPO@o2.com tatsächlich überwachen
https://www.o2.co.uk/termsandconditions/privacy-policy
O2 hatte früher einmal eine Adresse für Responsible Disclosure, hat sie aber vor einigen Jahren entfernt
Als ich vor langer Zeit dort gearbeitet habe, war das Sicherheitsteam hervorragend, aber als ich letztes Jahr wegen eines Problems eine E-Mail geschickt habe, waren diese Leute alle verschwunden
Das wirklich Interessante an diesem Fall ist, dass das in den meisten Rechtsordnungen vermutlich nicht einmal als Hacking eingestuft würde
Die Daten werden freiwillig während der normalen Nutzung über das Netzwerk übertragen
Kein System wurde dazu gebracht, personenbezogene Daten preiszugeben, und gerade so etwas ist oft illegal, selbst wenn das Hacking nur geringfügig ist
Schon etwas wie
&reveal_privat_data=truean eine URL anzuhängen, kann als klare Absicht gelten, auf Daten ohne Zugriffsrecht zuzugreifen, und damit illegal sein, aber hier gibt es nicht einmal so etwasDer beängstigende Teil ist, dass das kein theoretischer Bug ist
Wie auch im Artikel steht, handelt es sich um Nachlässigkeit bei der Implementierung, die andere britische Mobilfunkanbieter bereits behoben haben, und das Leaken von ECI wird seit der Einführung von LTE kritisiert
Es gibt Arbeiten wie https://arxiv.org/abs/2106.05007—and, und mit einer öffentlichen Datenbank für Funkzellen ist automatisches Mapping auf den Standort trivial
Ich frage mich auch sehr, wie der Anrufer die Anrufsteuerungsnachrichten, also SIP, überhaupt sehen konnte
Solche Nachrichten laufen doch innerhalb eines verschlüsselten GRE-Tunnels zwischen Endgerät, Basisstation und MME, oder? Wenn man die Verschlüsselung des GRE-Tunnels aufbrechen könnte, wäre das eine gewaltige Lücke, aber vermutlich hat der Autor des Originalbeitrags einfach Analysen auf seinem eigenen Gerät durchgeführt
Trotzdem ist es überraschend, dass der Payload vor der Verschlüsselung sichtbar ist
Viele Android-Geräte mit Qualcomm-Chip können per USB einen Modem-Diagnoseport bereitstellen, dafür braucht man nicht einmal ein gerootetes Gerät
Allerdings ist ein gerootetes NSG auf dem Gerät viel einfacher, als mit einem Laptop herumzulaufen
Wenn man den Modem-Diagnoseport aktiviert und Scat(https://github.com/fgsect/scat) benutzt, ist es einfach genug, um den gesamten Signalverkehr mit dem Netzwerk zu sehen
Zumindest die kostenlose Version der App scheint nichts zu „entschlüsseln“, aber sie hat Root-Rechte und Zugriff auf das Modem und kann daher solche Logs lesen
Man kann auch Bänder deaktivieren oder versuchen, sich auf eine bestimmte Funkzelle festzulegen, was nützlich ist, wenn man mobile Daten wie bei einem dedizierten 4G/5G-Router als primäre Internetverbindung nutzen will
GTP-Tunnel liegen zwischen eNodeB und Kernnetz und sind nur geschützt, wenn sie innerhalb von IPsec laufen
O2 behauptet nun, dass das Problem behoben wurde: https://www.ispreview.co.uk/index.php/2025/05/o2-uk-fixes-vo...
Darin heißt es: „O2 hat uns per E-Mail kontaktiert und bestätigt, dass dieses Problem behoben wurde. Ich habe das selbst verifiziert, und die Schwachstelle scheint behoben zu sein“
Man stelle sich vor, eine Datenbank mit derart sensiblen Daten wäre absichtlich über einen solchen Zeitraum hinweg schutzlos gelassen worden, offenbar ohne irgendjemanden darüber zu informieren
Es wird interessant sein zu sehen, wie das ICO damit umgeht
Scheint ein ziemlich ernstes Problem zu sein
Ein Handy zu rooten und dann NSG zu installieren, um diese Informationen einzusehen, ist nicht besonders schwer.
O2 ist außerdem das größte Mobilfunknetz im Vereinigten Königreich und hat auch Verträge mit der Regierung.
Dass sie nicht geantwortet haben, ist enttäuschend, aber nicht überraschend.
Bei O2 scheint intern einiges chaotisch zu laufen, und alles, was nicht direkt im Laden behoben werden kann, dauert lange.
Zum Beispiel Fehler bei der Rufnummernmitnahme.
Die Systeme wirken veraltet, manche Nutzergruppen können immer noch kein VoLTE verwenden, das neue 5G SA unterstützt keine Sprache und scheint sich zu stark auf n28 zu stützen, wodurch es in vielen Fällen langsam ist.
Der CTO schreibt im Blog, man müsse „sich von Vanity-Metriken lösen“, obwohl das Netz bei der Datenleistung meist das schlechteste ist.
[0] https://news.virginmediao2.co.uk/leaving-the-vanity-metrics-...
Ich verstehe nicht, wie O2 überhaupt noch am Markt ist.
Mit Abstand das schlechteste Netz, und selbst Three mit seiner katastrophalen Backhaul-Situation ist noch besser.
Der einzige Grund, warum ich neben einer EE-SIM auch eine O2-SIM habe, sind Priority-Tickets und das O2-Signal innerhalb von Veranstaltungsorten.
Man braucht dafür allerdings eine neue SIM und ein kompatibles Smartphone, und der Unterschied im Alltag ist völlig anders.
giffgaff, das das O2-Netz nutzt, behauptet, nicht betroffen zu sein, weil es auf dem physischen O2-Netz eine eigene Service-Implementierung verwendet.
Das mag stimmen, aber da es inzwischen derselben Firma gehört, wirkt eine Integration ziemlich wahrscheinlich, daher bin ich etwas skeptisch.
Falls das jemand mit einer giffgaff-SIM nachstellen kann, würde ich das Ergebnis gerne wissen.
Soweit ich mich erinnere, hat Telefónica O2 2006 übernommen und Giffgaff 2009 als neue Marke gestartet.
Ich weiß nicht, wie sie zu einem anderen Ergebnis gekommen sind.
Würde das Abschalten von VoLTE das Problem abmildern? Für das iPhone 11 habe ich online Dokumentation gesehen, wie man es deaktiviert, aber auf meinem iPhone 15 gibt es diese Option nicht.
Daher scheint das nichts zu bringen.