O2 VoLTE: Pelacakan Lokasi Semua Pelanggan Dimungkinkan Hanya dengan Satu Panggilan

 (mastdatabase.co.uk)
2 poin oleh GN⁺ 2025-05-18 | 1 komentar | Bagikan ke WhatsApp
  • Ditemukan bahwa pada layanan VoLTE (4G Calling) milik O2 UK, informasi lokasi lawan bicara dan pengenal perangkat ikut dikirimkan
  • Dalam pesan sinyal IMS, informasi sensitif seperti IMSI, IMEI, dan Cell ID disertakan sehingga mudah diterima dari luar
  • Dengan data crowdsourcing publik seperti cellmapper.net, informasi tersebut dapat digunakan untuk menentukan lokasi secara akurat
  • Kerentanan ini berlaku untuk semua pelanggan O2, sehingga siapa pun terbuka sebagai target serangan
  • Pengguna atau pelanggan biasa tidak memiliki cara tersendiri untuk mencegah kebocoran informasi ini

Pengantar

  • Voice over LTE (VoLTE) adalah teknologi yang memungkinkan panggilan suara di jaringan seluler dengan menggunakan protokol berbasis internet
  • IP Multimedia Subsystem (IMS) yang digunakan pada VoLTE dapat menimbulkan risiko keamanan karena kompleksitas dan masalah interaksi antarperangkat
  • Karena tiap operator dapat memilih konfigurasi server IMS dan cara implementasi layanan secara unik, kesalahan konfigurasi dapat memicu risiko kebocoran data
  • Dokumen ini menganalisis kasus ketika O2 UK benar-benar menimbulkan kekhawatiran keamanan semacam ini

Status layanan IMS/VoLTE O2 UK

  • Pada 27 Maret 2017, O2 UK memulai layanan berbasis IMS pertamanya bernama 4G Calling, yang memberikan kualitas suara lebih baik dan pengalaman penggunaan data yang lebih baik saat menelepon
  • Penulis menggunakan aplikasi Network Signal Guru (NSG) pada Google Pixel 8 yang sudah di-root untuk mengukur kualitas panggilan
  • Karena keterbatasan aplikasi, penulis menganalisis langsung pesan sinyal IMS mentah untuk memeriksa informasi rinci yang dipertukarkan saat panggilan berlangsung

Masalah pada pesan sinyal

  • Respons sinyal IMS milik O2 UK, tidak seperti operator lain, memuat informasi yang sangat rinci dan panjang
  • Bersama informasi server IMS/SIP, versi, error, dan log debug, terdapat header sensitif seperti berikut
    • Dua pasang IMSI, dua pasang IMEI
    • Cellular-Network-Info: jaringan penerima, kode lokasi, Cell ID, dan lain-lain
  • Hasil perbandingan IMSI, IMEI, dan Cell ID di dalam pesan menunjukkan bahwa informasi lawan bicara (penerima) ikut disertakan

Pelacakan lokasi melalui Cell ID

  • Jika header Cellular-Network-Info diuraikan, akan terlihat operator penerima, Location Area Code (LAC), dan Cell ID
  • Cell ID tersebut dapat dimasukkan ke layanan seperti cellmapper.net untuk mengetahui lokasi BTS secara akurat
  • Di wilayah padat seperti perkotaan, cakupan BTS bisa sempit hingga di bawah 100m², sehingga lokasi pihak lain dapat dipastikan dengan sangat presisi
  • Dalam praktiknya, metode ini tetap bekerja bahkan ketika pelanggan O2 sedang roaming di luar negeri, sehingga lokasi hingga pusat kota dapat diketahui
  • Informasi ini terekspos pada semua perangkat O2 yang mendukung panggilan IMS tanpa peralatan atau prosedur khusus

Permintaan perbaikan

  • O2 harus menghapus header sensitif (informasi lokasi dan perangkat) dari pesan IMS/SIP untuk melindungi privasi dan keselamatan pelanggan
  • Header untuk keperluan debug juga perlu dinonaktifkan karena dapat menyebabkan kebocoran informasi yang tidak perlu
  • Tidak masuk akal bila header semacam ini terlihat pada perangkat terminal di luar network core
  • Tidak adanya jalur pelaporan masalah keamanan internal di O2 adalah masalah serius dibanding operator lain (misalnya EE)

Kesimpulan

  • Pelanggan O2 berisiko dilacak hingga ke informasi lokasi yang presisi oleh siapa saja yang hanya memiliki pengetahuan dasar tentang jaringan seluler
  • Bahkan jika pengguna mematikan 4G Calling, kebocoran informasi sensitif ini tidak terhenti sehingga tidak bisa dicegah sendiri
  • Meski perangkat tidak terhubung ke jaringan, informasi sel terakhir yang diakses dan waktu koneksi masih tetap tertinggal di pesan IMS
  • Pada 26–27 Maret 2025, fakta dan risikonya telah beberapa kali diberitahukan lewat email kepada penanggung jawab keamanan dan CEO O2, namun tidak ada respons atau perbaikan berarti

Referensi

Riwayat revisi

  • Per 18 Mei 2025 23:40, koreksi telah diterapkan pada artikel awal terkait salah penulisan alamat email pelaporan keamanan O2 (virginmedia.co.uk→virginmediao2.co.uk)

Bacaan terkait

1 komentar

 
GN⁺ 2025-05-18
Komentar Hacker News
  • Pada 26 dan 27 Maret 2025 saya memberi tahu O2 lewat email tentang perilaku ini dan risiko privasinya, tetapi sampai sekarang belum ada balasan maupun perubahan tindakan, respons yang sangat disayangkan; juga aneh bahwa alamat Virgin Media adalah kontak terdekat, dan masalah lain adalah https://www.o2.co.uk/.well-known/security.txt seharusnya mengembalikan respons 200 tetapi justru 404; dalam situasi seperti ini saya bisa memahami jika akhirnya dipublikasikan, tetapi jadi penasaran apakah lembaga seperti NCSC bisa menyampaikan masalah ini dengan lebih baik
    • Ternyata alamat emailnya memang salah ditulis, seharusnya memakai @virginmediao2.co.uk milik Virgin Media O2, tetapi salah ketik menjadi @virginmedia.co.uk; bagian ini akan dikoreksi di artikel
    • Di kebijakan privasi ada beberapa alamat email (kewajiban GDPR), misalnya DPO@o2.com, jadi mungkin ada kemungkinan seseorang memantau dari sana, lihat https://www.o2.co.uk/termsandconditions/privacy-policy
  • Dulu O2 punya alamat email untuk responsible disclosure, tetapi beberapa tahun lalu itu dihapus; dulu tim keamanannya benar-benar hebat, tetapi saat saya mengirim email tentang isu tahun lalu, semuanya sudah tidak ada
    • Bisa jadi tim terkait di O2 sebenarnya sudah diberi tahu, tetapi tidak ada tindakan sama sekali, atau tindakannya tidak memadai
  • Bug kali ini bukan sekadar bug teoretis, melainkan masalah yang muncul karena kelalaian dalam implementasi; operator Inggris lain sudah memperbaiki masalah ini; kebocoran ECI sudah dibahas sejak awal penerapan LTE, dan berkat open mast DB, pemetaan lokasi otomatis juga sangat mudah, lihat makalah terkait (https://arxiv.org/abs/2106.05007)
  • Hal yang sangat menarik adalah bahwa dari sebagian besar sudut pandang hukum, ini tidak akan diklasifikasikan sebagai peretasan; data tersebut memang secara normal dan sukarela keluar dari jaringan, karena tidak ada upaya menipu sistem untuk mendapatkan data secara ilegal; misalnya menambahkan "&reveal_privat_data=true" ke URL jelas menunjukkan niat dan akan ilegal, tetapi kasus ini tidak seperti itu
    • Namun ini tetap merupakan kebocoran data; jika ada aturan terkait seperti di Inggris, ini bisa langsung menjadi alasan untuk melapor ke regulator atau terkena denda
    • Mengingat cakupan Computer Misuse Act sangat luas, ini bukan masalah yang sesederhana kelihatannya
  • Saya sangat penasaran bagaimana pihak yang memulai panggilan bisa melihat pesan kontrol panggilan (misalnya SIP); saya kira pesan-pesan ini berada di dalam terowongan GRE terenkripsi antara handset dan stasiun basis (MME); jika seseorang benar-benar memecahkan enkripsi terowongan GRE, itu kerentanan keamanan yang sangat besar; mungkin OP bisa melakukannya karena sedang menganalisis di perangkatnya sendiri, tetapi tetap mengejutkan bahwa payload sebelum enkripsi bisa terlihat
    • Saya editor artikelnya; sebagian besar perangkat Android berbasis chip Qualcomm memiliki opsi untuk mengekspos port diagnostik modem lewat USB, jadi tidak perlu root; saya lebih suka memakai NSG dengan root karena jauh lebih praktis daripada membawa laptop ke mana-mana; jika memakai Scat(https://github.com/fgsect/scat) sambil mengaktifkan port diagnostik modem, Anda bisa melihat semua trafik pensinyalan
    • Saya menggunakan ponsel Android yang sudah di-root dan aplikasi Network Signal Guru(https://play.google.com/store/apps/details?id=com.qtrun.QuickTest); pada versi gratis aplikasi ini tidak benar-benar 'mendekripsi', tetapi dengan akses root dan akses modem Anda bisa membaca log semacam ini; Anda juga bisa mematikan band tertentu atau memaksa koneksi hanya ke stasiun basis tertentu, sehingga praktis untuk penggunaan data-only
    • Banyak operator memang mengonfigurasi pensinyalan SIP untuk VoLTE sebagai transport IPsec yang berakhir di P-CSCF, tetapi kebanyakan (atau semuanya) mengatur IPsec hanya untuk menjamin integritas
    • Koreksi: bukan GRE melainkan GTP
    • Sepertinya yang dimaksud adalah terowongan GTP; terowongan GTP bekerja antara enodeb dan jaringan inti, dan hanya diamankan jika berada di dalam IPSEC
  • Aneh rasanya O2 masih bisa bertahan sebagai bisnis; kualitasnya jauh lebih buruk daripada jaringan lain, bahkan kalah dari Three yang pun punya masalah backhaul parah; satu-satunya alasan saya masih punya SIM O2 adalah tiket Priority dan sinyal yang bisa dipakai di venue konser mereka
    • Kalau bisa terhubung ke jaringan 5G Standalone, hasilnya jauh lebih baik; hanya saja perlu SIM baru dan ponsel yang kompatibel, dan perbedaannya sangat terasa
  • Menurut saya ini masalah yang cukup serius; me-root ponsel dan memasang NSG untuk melihat informasi seperti ini tidaklah terlalu sulit; O2 juga merupakan operator seluler terbesar di Inggris dan punya kontrak dengan pemerintah; tidak dibalas memang mengecewakan, tetapi juga sesuai ekspektasi; O2 sedang kacau secara internal; hal-hal yang tidak bisa diselesaikan di toko fisik butuh waktu sangat lama untuk diperbaiki (misalnya masalah porting nomor), sistemnya juga sudah tua, sebagian pelanggan bahkan masih belum bisa memakai VoLTE, 5G SA tidak mendukung panggilan suara, dan terlalu bergantung pada n28 sehingga sering lambat; CTO menulis blog dengan pesan kurang lebih "tinggalkan vanity metrics dan fokus pada hal yang penting", tetapi kualitas datanya sendiri selalu berada di posisi terbawah, lihat blog terkait (https://news.virginmediao2.co.uk/leaving-the-vanity-metrics-behind-and-focusing-on-what-matters-customer-experience/)
    • Saya mulai curiga mereka tidak mengenakan biaya roaming UE karena memang tidak punya sistem penagihannya
  • Saya penasaran apakah mematikan VoLTE bisa mencegah masalah ini; di iPhone 11 saya menemukan cara mematikannya, tetapi di iPhone 15 opsi itu tidak ada
    • Bahkan jika 4G Calling(VoLTE) dinonaktifkan, header seperti ini tetap terekspos, dan meskipun perangkat dimatikan, lokasi sel terakhir yang terhubung dan waktunya tetap terekspos; jadi tidak ada efeknya
    • O2 UK tidak mendukung VoLTE untuk pelanggan prabayar lama (PAYG), hanya untuk pelanggan paket; ironisnya sekarang itu terasa seperti kabar baik
  • Saya tidak terlalu paham IMS, tetapi saya bertanya-tanya apakah panggilan harus dipertahankan cukup lama agar header debug semacam ini dikirim; seperti pelacakan panggilan di film mata-mata; kalau begitu, mungkinkah cukup menghindarinya dengan tidak mengangkat nomor yang tidak dikenal? Tentu saja, jika orang yang dikenal menelepon berdasarkan nomor, informasinya tetap bisa bocor dengan cara yang sama
    • Informasi seperti ini sudah diketahui jaringan bahkan sebelum panggilan tersambung; karena ini tampaknya header untuk debugging, mungkin diperlukan untuk debug bahkan saat koneksi gagal; kalau pemahaman saya benar, inilah sebabnya informasi sel terakhir yang dipakai tetap diberikan meskipun perangkat dimatikan
    • IMS pada dasarnya hanyalah SIP core + beberapa gateway + infrastruktur LTE dasar (misalnya eNodeB, PCRF, dll.); pesan pensinyalannya ya memang pesan SIP biasa; jika header semacam ini juga ada di SIP 180 Ringing dan sejenisnya, maka informasi bisa bocor bahkan tanpa mengangkat telepon; penjelasan ini berdasarkan pengalaman benar-benar membangun IMS di operator
  • Saya penasaran apakah O2 NZ juga punya masalah ini; minggu lalu saya pindah karena roaming tanpa batas dan panggilan VoLTE di Australia
    • Kemungkinan besar isu ini hanya berlaku untuk O2 UK