O2 VoLTE, Lokasi Semua Pelanggan Bisa Dilacak Hanya dengan Satu Panggilan
(mastdatabase.co.uk)- Ada masalah pada implementasi 4G Calling/WiFi Calling O2 UK yang membuat penelepon menerima header IMS/SIP yang dapat dipakai untuk memperkirakan lokasi penerima, dan paparan ini memengaruhi semua pelanggan O2 selama berbulan-bulan
- Pesan pensinyalan IMS berisi server IMS/SIP O2, yaitu Mavenir UAG, versi, informasi debug, pesan kesalahan, IMSI dan IMEI penelepon serta penerima, juga
Cellular-Network-Infomilik penerima - Dengan membagi nilai
utran-cell-id-3gpppadaCellular-Network-Infomenjadi PLMN, Location Area Code, dan Cell ID, lalu mencocokkannya dengan data BTS publik seperti Cellmapper, lokasi perkiraan penerima dapat ditemukan - Di kota, small cell yang dipasang di tiang lampu dan tempat serupa menangani area sempit sehingga akurasi estimasi lokasi meningkat drastis; pelanggan O2 yang sedang roaming di luar negeri pun dapat dipersempit lokasinya hingga pusat kota Kopenhagen
- Jika 4G Calling dan WiFi Calling sama-sama dimatikan, paparan lokasi dapat dicegah, tetapi paparan IMEI dan IMSI tetap ada terlepas dari status registrasi IMS, sehingga O2 perlu menghapus header terkait dari pesan IMS/SIP
Petunjuk lokasi yang bocor dari panggilan IMS
- Voice over LTE(VoLTE) menggunakan standar IP Multimedia Subsystem(IMS) untuk menangani panggilan suara melalui protokol berbasis internet di jaringan seluler
- Implementasi IMS rumit dan sangat bergantung pada perangkat, sehingga di masa lalu ada perangkat yang memerlukan firmware tertentu untuk menggunakan VoLTE dan WiFi Calling
- Jaringan seluler memilih bagaimana layanan IMS diimplementasikan dan pengaturan apa yang digunakan, sementara ponsel berkomunikasi langsung dengan server tersebut
- Dalam struktur ini, tanggung jawab untuk menjaga server tetap mutakhir dan mengelola konfigurasi agar tidak menimbulkan paparan data yang tidak perlu berada pada jaringan seluler
Proses memeriksa 4G Calling O2 UK
- O2 UK meluncurkan layanan IMS pertamanya, 4G Calling, pada 27 Maret 2017
- Layanan ini bertujuan meningkatkan kualitas panggilan dan memperbaiki pengalaman data karena panggilan tidak turun ke 3G saat berlangsung
- Setelah pindah ke O2, peneliti mencoba memeriksa codec suara apa saja yang didukung di 4G/WiFi Calling
- Menggunakan Network Signal Guru(NSG) pada Google Pixel 8 yang sudah di-root, peneliti menelepon perangkat pelanggan O2 lain yang kompatibel dengan 4G VoLTE
- Karena ada bug NSG pada modem Samsung di Google Pixel terbaru, codec panggilan saat ini tidak otomatis ditampilkan di bagian VoLTE; sebagai gantinya, peneliti memeriksa pesan pensinyalan IMS mentah antara perangkat dan jaringan
Header sensitif yang terkandung dalam pesan IMS/SIP
- Respons jaringan jauh lebih detail dan panjang dibanding yang pernah terlihat di jaringan lain
- Pesan tersebut menyertakan Mavenir UAG, server IMS/SIP yang digunakan O2, beserta nomor versinya
- Pesan kesalahan saat terjadi masalah pada layanan C++ yang memproses informasi panggilan serta informasi debug lainnya juga ikut terekspos
- Secara khusus, di dekat bagian bawah pesan terdapat jenis header berikut
P-Mav-Extension-IMSI: 2 IMSIP-Mav-Extension-IMEI: 2 IMEICellular-Network-Info: informasi sel penerima
- Setelah membandingkan IMSI dan IMEI dengan informasi perangkat peneliti, ternyata pesan tersebut tidak hanya berisi milik penelepon, tetapi juga IMSI dan IMEI penerima panggilan
Cara menghitung lokasi dengan Cellular-Network-Info
- Awalan nilai
Cellular-Network-Info, yaitu3GPP-E-UTRAN-FDD, menunjukkan bahwa data sel tersebut adalah 4G, atau dengan nama resminya E-UTRAN FDD - Nilai
utran-cell-id-3gppberikutnya dibagi menjadi 3 bagian- 5–6 digit pertama adalah PLMN jaringan penerima
- 4 karakter berikutnya adalah Location Area Code(LAC) penerima dalam heksadesimal
- 7 karakter terakhir adalah Cell ID penerima dalam heksadesimal
- Bagian terakhir menunjukkan usia data dalam satuan detik
- Bagian ini muncul ketika perangkat saat ini tidak terhubung ke jaringan, tidak memiliki sinyal, atau bergantung pada WiFi Calling
- Dari contoh pesan, dapat dihitung bahwa penerima terhubung ke jaringan O2
234-10, berada di LAC0x1003dan Cell ID0x7a60773, serta menggunakan Google Pixel 9 dan SIM O2
Estimasi lokasi dengan menggabungkan data BTS publik
- Cell ID dapat dimasukkan ke kalkulator cell ID Cellmapper untuk menghitung ID situs terkait
- Setelah itu, situs tersebut dapat dicari di peta Cellmapper untuk memeriksa macro cell pada saat panggilan
- Macro cell memiliki cakupan yang relatif luas, tetapi wilayah kota yang padat banyak menggunakan sel kecil
- small cell kadang dipasang langsung di tiang lampu
- Setiap situs dapat mencakup area sekecil 100㎡
- Serangan yang sama juga diuji pada pelanggan O2 lain yang sedang roaming di luar negeri, dan lokasinya dapat dipersempit hingga pusat kota Kopenhagen, Denmark
- Perangkat peneliti tidak melakukan tindakan khusus terhadap jaringan; perangkat itu hanya memungkinkan peneliti melihat informasi yang dikirim ke perangkat
- Perangkat O2 yang melakukan panggilan melalui IMS, yaitu 4G Calling atau WiFi Calling, dapat menerima informasi yang bisa digunakan untuk memperkirakan lokasi geografis penerima panggilan
Header yang harus dihapus O2 dan mitigasi yang dapat dilakukan pengguna
- Untuk melindungi privasi dan keselamatan pelanggan, O2 harus menghapus header yang disorot dari semua pesan IMS/SIP
- Header debug juga sebaiknya dinonaktifkan
- Tidak ada perangkat di luar inti jaringan yang punya alasan untuk melihat header semacam ini
- Header debug berpotensi membocorkan informasi tambahan tanpa sengaja
- Pesaingnya, EE, menyediakan jalur BT responsible disclosure, tetapi O2 tidak memiliki jalur eskalasi yang jelas untuk melaporkan vektor serangan potensial seperti ini
- Pada 26 dan 27 Maret 2025, email yang menjelaskan perilaku ini dan risiko privasinya dikirim kepada CEO O2 Lutz Schüler serta
securityincidents@virginmediao2.co.uk, tetapi tidak ada respons maupun perubahan perilaku - Jika 4G Calling dan WiFi Calling sama-sama dimatikan, bagian paparan lokasi dapat dicegah secara efektif
- Header
Cellular-Network-Infohanya dikirim ketika perangkat penerima merespons - Paparan IMEI dan IMSI tetap terjadi terlepas dari status registrasi IMS
- Header
- Dalam pembaruan pada 27 Mei 2025, pernyataan awal bahwa tidak ada cara untuk memitigasi paparan lokasi dikoreksi setelah pemeriksaan lebih lanjut terhadap pensinyalan IMS dan cara perangkat mengirim header; mematikan 4G Calling dan WiFi Calling sama-sama dapat memitigasi bagian paparan lokasi
1 komentar
Komentar Hacker News
Benar-benar buruk bahwa pada 26–27 Maret 2025 mereka sudah memberi tahu CEO O2 dan alamat email insiden keamanan tentang perilaku ini serta risiko privasi, tetapi tidak ada balasan maupun perubahan
Saya juga heran kenapa alamat Virgin Media menjadi kontak yang paling mendekati pilihan terbaik, dan https://www.o2.co.uk/.well-known/security.txt seharusnya mengembalikan 200, bukan 404
Dalam situasi seperti ini saya rasa tidak masalah untuk mempublikasikannya, tetapi NCSC mungkin bisa menangani kasus seperti ini dalam kondisi tertentu dan berkomunikasi lebih baik dengan organisasi terkait
Email yang dihubungi bukan @virginmedia.co.uk, melainkan @virginmediao2.co.uk, dan ada salah ketik di tulisan
Akan kami perbaiki dan perbarui
Misalnya alamat seperti DPO@o2.com mungkin saja dipantau seseorang
https://www.o2.co.uk/termsandconditions/privacy-policy
O2 dulu punya alamat untuk responsible disclosure, tetapi menghapusnya beberapa tahun lalu
Dulu sekali saat saya bekerja di sana, tim keamanannya bagus, tetapi ketika saya mengirim email soal suatu masalah tahun lalu, semua orang itu sudah tidak ada
Hal yang benar-benar menarik dalam kasus ini adalah, di sebagian besar yurisdiksi, kemungkinan besar ini bahkan tidak akan diklasifikasikan sebagai peretasan
Datanya dikirim secara sukarela saat penggunaan normal di jaringan
Tidak ada sistem yang ditipu agar mengungkap data pribadi, dan tindakan semacam itu sering kali ilegal meskipun peretasannya sepele
Menambahkan sesuatu seperti
&reveal_privat_data=trueke URL saja bisa dianggap ilegal karena menunjukkan niat jelas untuk mengakses data tanpa izin, tetapi dalam kasus ini bahkan itu pun tidak adaBagian yang menakutkan adalah ini bukan bug teoretis
Seperti disebutkan dalam tulisan, operator Inggris lain sudah memperbaikinya; ini adalah kemalasan implementasi, dan kebocoran ECI sudah disorot sejak masa adopsi LTE
Ada juga makalah seperti https://arxiv.org/abs/2106.05007—and, dan jika ada basis data BTS publik, pemetaan lokasi otomatis menjadi hal sepele
Saya juga sangat penasaran bagaimana penelepon bisa melihat pesan kontrol panggilan, yaitu SIP
Bukankah pesan seperti ini berada di dalam tunnel GRE terenkripsi antara perangkat, BTS, dan MME? Jika enkripsi tunnel GRE bisa dibuka, itu akan menjadi celah besar, tetapi mungkin penulis artikel asli menjalankan analisis di perangkatnya sendiri sehingga hal itu dimungkinkan
Tetap saja mengejutkan bahwa payload sebelum enkripsi bisa terlihat
Banyak perangkat Android dengan chip Qualcomm dapat mengekspos port diagnostik modem lewat USB, jadi bahkan perangkat yang di-root pun tidak diperlukan
Namun jauh lebih mudah memakai NSG yang di-root di perangkat daripada membawa-bawa laptop
Setelah mengaktifkan port diagnostik modem, cukup gunakan Scat(https://github.com/fgsect/scat) untuk melihat semua trafik sinyal yang dikirim dan diterima jaringan
Setidaknya versi gratis aplikasinya tampaknya tidak “mendekripsi” apa pun, tetapi karena punya akses root dan akses modem, aplikasi ini bisa membaca log seperti ini
Aplikasi ini juga bisa dipakai untuk mematikan band atau mencoba mengunci ke BTS tertentu, sehingga berguna jika Anda ingin memakai data seluler sebagai koneksi internet utama seperti router 4G/5G khusus
Tunnel GTP berada di antara eNodeB dan jaringan inti, dan hanya terlindungi jika berjalan di dalam IPsec
O2 sekarang mengklaim masalahnya sudah diperbaiki: https://www.ispreview.co.uk/index.php/2025/05/o2-uk-fixes-vo...
Isinya: “O2 menghubungi lewat email dan mengonfirmasi bahwa masalah ini telah diperbaiki. Kami telah memverifikasinya sendiri, dan kerentanannya tampaknya sudah ditangani”
Bayangkan sebuah basis data yang berisi data sesensitif ini sengaja dibiarkan tanpa perlindungan selama periode itu, dan tampaknya tanpa memberi tahu siapa pun
Akan menarik melihat bagaimana ICO menangani hal ini
Tampaknya ini masalah yang cukup serius
Melakukan root pada ponsel lalu memasang NSG untuk melihat informasi ini bukan hal yang sulit
O2 juga merupakan jaringan seluler terbesar di Inggris dan punya kontrak dengan pemerintah
Mengecewakan mereka tidak menjawab, tetapi tidak mengejutkan
O2 tampaknya berantakan secara internal, dan hal-hal yang tidak bisa langsung dibereskan seseorang di toko membutuhkan waktu lama untuk diselesaikan
Misalnya hal-hal seperti kesalahan porting nomor
Sistemnya terlihat usang, sebagian kelompok pengguna masih belum bisa memakai VoLTE, dan 5G SA baru tidak mendukung suara serta tampaknya terlalu bergantung pada n28, sehingga dalam banyak kasus lambat
CTO menulis di blog, “mari tinggalkan metrik kesombongan,” padahal jaringan ini biasanya yang terburuk dalam performa data
[0] https://news.virginmediao2.co.uk/leaving-the-vanity-metrics-...
Saya tidak tahu bagaimana O2 masih bisa terus beroperasi
Ini jelas jaringan terburuk, bahkan Three dengan kondisi backhaul yang mengenaskan masih lebih baik
Satu-satunya alasan saya punya SIM O2 bersama SIM EE adalah tiket Priority dan sinyal di dalam venue O2
Namun perlu SIM baru dan ponsel yang kompatibel, dan perbedaan yang terasa benar-benar lain
giffgaff yang memakai jaringan O2 mengklaim tidak terdampak karena menggunakan implementasi layanannya sendiri di atas jaringan fisik O2
Mungkin saja benar, tetapi karena sekarang saya tahu mereka dimiliki perusahaan yang sama, kemungkinan integrasinya tampak besar, jadi saya agak skeptis
Kalau ada yang mencoba mereproduksi ini dengan SIM giffgaff, saya ingin tahu hasilnya
Seingat saya, Telefónica mengakuisisi O2 pada 2006, lalu meluncurkan Giffgaff sebagai merek baru pada 2009
Saya tidak tahu bagaimana mereka sampai pada kesimpulan berbeda
Apakah mematikan VoLTE bisa menjadi mitigasi? Saya melihat dokumentasi online tentang cara mematikannya di iPhone 11, tetapi di iPhone 15 saya opsi itu tidak ada
Jadi sepertinya tidak akan efektif