2 poin oleh GN⁺ 2025-05-18 | 1 komentar | Bagikan ke WhatsApp
  • Ada masalah pada implementasi 4G Calling/WiFi Calling O2 UK yang membuat penelepon menerima header IMS/SIP yang dapat dipakai untuk memperkirakan lokasi penerima, dan paparan ini memengaruhi semua pelanggan O2 selama berbulan-bulan
  • Pesan pensinyalan IMS berisi server IMS/SIP O2, yaitu Mavenir UAG, versi, informasi debug, pesan kesalahan, IMSI dan IMEI penelepon serta penerima, juga Cellular-Network-Info milik penerima
  • Dengan membagi nilai utran-cell-id-3gpp pada Cellular-Network-Info menjadi PLMN, Location Area Code, dan Cell ID, lalu mencocokkannya dengan data BTS publik seperti Cellmapper, lokasi perkiraan penerima dapat ditemukan
  • Di kota, small cell yang dipasang di tiang lampu dan tempat serupa menangani area sempit sehingga akurasi estimasi lokasi meningkat drastis; pelanggan O2 yang sedang roaming di luar negeri pun dapat dipersempit lokasinya hingga pusat kota Kopenhagen
  • Jika 4G Calling dan WiFi Calling sama-sama dimatikan, paparan lokasi dapat dicegah, tetapi paparan IMEI dan IMSI tetap ada terlepas dari status registrasi IMS, sehingga O2 perlu menghapus header terkait dari pesan IMS/SIP

Petunjuk lokasi yang bocor dari panggilan IMS

  • Voice over LTE(VoLTE) menggunakan standar IP Multimedia Subsystem(IMS) untuk menangani panggilan suara melalui protokol berbasis internet di jaringan seluler
  • Implementasi IMS rumit dan sangat bergantung pada perangkat, sehingga di masa lalu ada perangkat yang memerlukan firmware tertentu untuk menggunakan VoLTE dan WiFi Calling
  • Jaringan seluler memilih bagaimana layanan IMS diimplementasikan dan pengaturan apa yang digunakan, sementara ponsel berkomunikasi langsung dengan server tersebut
  • Dalam struktur ini, tanggung jawab untuk menjaga server tetap mutakhir dan mengelola konfigurasi agar tidak menimbulkan paparan data yang tidak perlu berada pada jaringan seluler

Proses memeriksa 4G Calling O2 UK

  • O2 UK meluncurkan layanan IMS pertamanya, 4G Calling, pada 27 Maret 2017
    • Layanan ini bertujuan meningkatkan kualitas panggilan dan memperbaiki pengalaman data karena panggilan tidak turun ke 3G saat berlangsung
  • Setelah pindah ke O2, peneliti mencoba memeriksa codec suara apa saja yang didukung di 4G/WiFi Calling
  • Menggunakan Network Signal Guru(NSG) pada Google Pixel 8 yang sudah di-root, peneliti menelepon perangkat pelanggan O2 lain yang kompatibel dengan 4G VoLTE
  • Karena ada bug NSG pada modem Samsung di Google Pixel terbaru, codec panggilan saat ini tidak otomatis ditampilkan di bagian VoLTE; sebagai gantinya, peneliti memeriksa pesan pensinyalan IMS mentah antara perangkat dan jaringan

Header sensitif yang terkandung dalam pesan IMS/SIP

  • Respons jaringan jauh lebih detail dan panjang dibanding yang pernah terlihat di jaringan lain
  • Pesan tersebut menyertakan Mavenir UAG, server IMS/SIP yang digunakan O2, beserta nomor versinya
  • Pesan kesalahan saat terjadi masalah pada layanan C++ yang memproses informasi panggilan serta informasi debug lainnya juga ikut terekspos
  • Secara khusus, di dekat bagian bawah pesan terdapat jenis header berikut
    • P-Mav-Extension-IMSI: 2 IMSI
    • P-Mav-Extension-IMEI: 2 IMEI
    • Cellular-Network-Info: informasi sel penerima
  • Setelah membandingkan IMSI dan IMEI dengan informasi perangkat peneliti, ternyata pesan tersebut tidak hanya berisi milik penelepon, tetapi juga IMSI dan IMEI penerima panggilan

Cara menghitung lokasi dengan Cellular-Network-Info

  • Awalan nilai Cellular-Network-Info, yaitu 3GPP-E-UTRAN-FDD, menunjukkan bahwa data sel tersebut adalah 4G, atau dengan nama resminya E-UTRAN FDD
  • Nilai utran-cell-id-3gpp berikutnya dibagi menjadi 3 bagian
    • 5–6 digit pertama adalah PLMN jaringan penerima
    • 4 karakter berikutnya adalah Location Area Code(LAC) penerima dalam heksadesimal
    • 7 karakter terakhir adalah Cell ID penerima dalam heksadesimal
  • Bagian terakhir menunjukkan usia data dalam satuan detik
    • Bagian ini muncul ketika perangkat saat ini tidak terhubung ke jaringan, tidak memiliki sinyal, atau bergantung pada WiFi Calling
  • Dari contoh pesan, dapat dihitung bahwa penerima terhubung ke jaringan O2 234-10, berada di LAC 0x1003 dan Cell ID 0x7a60773, serta menggunakan Google Pixel 9 dan SIM O2

Estimasi lokasi dengan menggabungkan data BTS publik

  • Cell ID dapat dimasukkan ke kalkulator cell ID Cellmapper untuk menghitung ID situs terkait
  • Setelah itu, situs tersebut dapat dicari di peta Cellmapper untuk memeriksa macro cell pada saat panggilan
  • Macro cell memiliki cakupan yang relatif luas, tetapi wilayah kota yang padat banyak menggunakan sel kecil
    • small cell kadang dipasang langsung di tiang lampu
    • Setiap situs dapat mencakup area sekecil 100㎡
  • Serangan yang sama juga diuji pada pelanggan O2 lain yang sedang roaming di luar negeri, dan lokasinya dapat dipersempit hingga pusat kota Kopenhagen, Denmark
  • Perangkat peneliti tidak melakukan tindakan khusus terhadap jaringan; perangkat itu hanya memungkinkan peneliti melihat informasi yang dikirim ke perangkat
  • Perangkat O2 yang melakukan panggilan melalui IMS, yaitu 4G Calling atau WiFi Calling, dapat menerima informasi yang bisa digunakan untuk memperkirakan lokasi geografis penerima panggilan

Header yang harus dihapus O2 dan mitigasi yang dapat dilakukan pengguna

  • Untuk melindungi privasi dan keselamatan pelanggan, O2 harus menghapus header yang disorot dari semua pesan IMS/SIP
  • Header debug juga sebaiknya dinonaktifkan
    • Tidak ada perangkat di luar inti jaringan yang punya alasan untuk melihat header semacam ini
    • Header debug berpotensi membocorkan informasi tambahan tanpa sengaja
  • Pesaingnya, EE, menyediakan jalur BT responsible disclosure, tetapi O2 tidak memiliki jalur eskalasi yang jelas untuk melaporkan vektor serangan potensial seperti ini
  • Pada 26 dan 27 Maret 2025, email yang menjelaskan perilaku ini dan risiko privasinya dikirim kepada CEO O2 Lutz Schüler serta securityincidents@virginmediao2.co.uk, tetapi tidak ada respons maupun perubahan perilaku
  • Jika 4G Calling dan WiFi Calling sama-sama dimatikan, bagian paparan lokasi dapat dicegah secara efektif
    • Header Cellular-Network-Info hanya dikirim ketika perangkat penerima merespons
    • Paparan IMEI dan IMSI tetap terjadi terlepas dari status registrasi IMS
  • Dalam pembaruan pada 27 Mei 2025, pernyataan awal bahwa tidak ada cara untuk memitigasi paparan lokasi dikoreksi setelah pemeriksaan lebih lanjut terhadap pensinyalan IMS dan cara perangkat mengirim header; mematikan 4G Calling dan WiFi Calling sama-sama dapat memitigasi bagian paparan lokasi

1 komentar

 
GN⁺ 2025-05-18
Komentar Hacker News
  • Benar-benar buruk bahwa pada 26–27 Maret 2025 mereka sudah memberi tahu CEO O2 dan alamat email insiden keamanan tentang perilaku ini serta risiko privasi, tetapi tidak ada balasan maupun perubahan
    Saya juga heran kenapa alamat Virgin Media menjadi kontak yang paling mendekati pilihan terbaik, dan https://www.o2.co.uk/.well-known/security.txt seharusnya mengembalikan 200, bukan 404
    Dalam situasi seperti ini saya rasa tidak masalah untuk mempublikasikannya, tetapi NCSC mungkin bisa menangani kasus seperti ini dalam kondisi tertentu dan berkomunikasi lebih baik dengan organisasi terkait

    • Ini sebenarnya kesalahan dari pihak kami
      Email yang dihubungi bukan @virginmedia.co.uk, melainkan @virginmediao2.co.uk, dan ada salah ketik di tulisan
      Akan kami perbaiki dan perbarui
    • Di kebijakan privasi ada beberapa alamat email karena persyaratan GDPR
      Misalnya alamat seperti DPO@o2.com mungkin saja dipantau seseorang
      https://www.o2.co.uk/termsandconditions/privacy-policy
  • O2 dulu punya alamat untuk responsible disclosure, tetapi menghapusnya beberapa tahun lalu
    Dulu sekali saat saya bekerja di sana, tim keamanannya bagus, tetapi ketika saya mengirim email soal suatu masalah tahun lalu, semua orang itu sudah tidak ada

    • Saya tahu tim terkait di internal O2 memang sudah diberi tahu, tetapi hasilnya tampaknya tidak ada tindakan atau tindakannya tidak memadai
  • Hal yang benar-benar menarik dalam kasus ini adalah, di sebagian besar yurisdiksi, kemungkinan besar ini bahkan tidak akan diklasifikasikan sebagai peretasan
    Datanya dikirim secara sukarela saat penggunaan normal di jaringan
    Tidak ada sistem yang ditipu agar mengungkap data pribadi, dan tindakan semacam itu sering kali ilegal meskipun peretasannya sepele
    Menambahkan sesuatu seperti &reveal_privat_data=true ke URL saja bisa dianggap ilegal karena menunjukkan niat jelas untuk mengakses data tanpa izin, tetapi dalam kasus ini bahkan itu pun tidak ada

    • Tetap saja ini adalah kebocoran data, dan jika regulasinya berada di Inggris, kasus ini harus segera dilaporkan ke otoritas pengawas; jika tidak dilaporkan, bisa berujung denda dan konsekuensi lain
    • Sepertinya Anda belum begitu paham seberapa luas Computer Misuse Act Inggris dapat diterapkan
  • Bagian yang menakutkan adalah ini bukan bug teoretis
    Seperti disebutkan dalam tulisan, operator Inggris lain sudah memperbaikinya; ini adalah kemalasan implementasi, dan kebocoran ECI sudah disorot sejak masa adopsi LTE
    Ada juga makalah seperti https://arxiv.org/abs/2106.05007—and, dan jika ada basis data BTS publik, pemetaan lokasi otomatis menjadi hal sepele

    • Mungkin mereka sedang panik sambil menunggu instruksi dari badan keamanan yang selama ini memakai hal ini
  • Saya juga sangat penasaran bagaimana penelepon bisa melihat pesan kontrol panggilan, yaitu SIP
    Bukankah pesan seperti ini berada di dalam tunnel GRE terenkripsi antara perangkat, BTS, dan MME? Jika enkripsi tunnel GRE bisa dibuka, itu akan menjadi celah besar, tetapi mungkin penulis artikel asli menjalankan analisis di perangkatnya sendiri sehingga hal itu dimungkinkan
    Tetap saja mengejutkan bahwa payload sebelum enkripsi bisa terlihat

    • Saya editor tulisan tersebut
      Banyak perangkat Android dengan chip Qualcomm dapat mengekspos port diagnostik modem lewat USB, jadi bahkan perangkat yang di-root pun tidak diperlukan
      Namun jauh lebih mudah memakai NSG yang di-root di perangkat daripada membawa-bawa laptop
      Setelah mengaktifkan port diagnostik modem, cukup gunakan Scat(https://github.com/fgsect/scat) untuk melihat semua trafik sinyal yang dikirim dan diterima jaringan
    • Saya memakai ponsel Android yang di-root dan aplikasi bernama Network Signal Guru: https://play.google.com/store/apps/details?id=com.qtrun.Quic...
      Setidaknya versi gratis aplikasinya tampaknya tidak “mendekripsi” apa pun, tetapi karena punya akses root dan akses modem, aplikasi ini bisa membaca log seperti ini
      Aplikasi ini juga bisa dipakai untuk mematikan band atau mencoba mengunci ke BTS tertentu, sehingga berguna jika Anda ingin memakai data seluler sebagai koneksi internet utama seperti router 4G/5G khusus
    • Banyak operator mengonfigurasi agar sinyal SIP untuk VoLTE memakai transport IPsec yang berakhir di P-CSCF, tetapi sebagian besar atau semuanya mengatur IPsec hanya untuk perlindungan integritas
    • Sepertinya yang Anda maksud bukan GRE, melainkan tunnel GTP
      Tunnel GTP berada di antara eNodeB dan jaringan inti, dan hanya terlindungi jika berjalan di dalam IPsec
    • Koreksi: memang GTP
  • O2 sekarang mengklaim masalahnya sudah diperbaiki: https://www.ispreview.co.uk/index.php/2025/05/o2-uk-fixes-vo...

    • Artikel yang diajukan sudah diperbarui pagi ini
      Isinya: “O2 menghubungi lewat email dan mengonfirmasi bahwa masalah ini telah diperbaiki. Kami telah memverifikasinya sendiri, dan kerentanannya tampaknya sudah ditangani”
    • Dalam pernyataannya mereka mengatakan “tim engineering telah mengerjakan dan menguji perbaikan selama beberapa minggu”
      Bayangkan sebuah basis data yang berisi data sesensitif ini sengaja dibiarkan tanpa perlindungan selama periode itu, dan tampaknya tanpa memberi tahu siapa pun
      Akan menarik melihat bagaimana ICO menangani hal ini
  • Tampaknya ini masalah yang cukup serius
    Melakukan root pada ponsel lalu memasang NSG untuk melihat informasi ini bukan hal yang sulit
    O2 juga merupakan jaringan seluler terbesar di Inggris dan punya kontrak dengan pemerintah
    Mengecewakan mereka tidak menjawab, tetapi tidak mengejutkan
    O2 tampaknya berantakan secara internal, dan hal-hal yang tidak bisa langsung dibereskan seseorang di toko membutuhkan waktu lama untuk diselesaikan
    Misalnya hal-hal seperti kesalahan porting nomor
    Sistemnya terlihat usang, sebagian kelompok pengguna masih belum bisa memakai VoLTE, dan 5G SA baru tidak mendukung suara serta tampaknya terlalu bergantung pada n28, sehingga dalam banyak kasus lambat
    CTO menulis di blog, “mari tinggalkan metrik kesombongan,” padahal jaringan ini biasanya yang terburuk dalam performa data
    [0] https://news.virginmediao2.co.uk/leaving-the-vanity-metrics-...

    • Saya mulai berpikir jangan-jangan alasan mereka tidak mengenakan biaya roaming UE sebenarnya karena tidak punya sistem untuk menagihnya
  • Saya tidak tahu bagaimana O2 masih bisa terus beroperasi
    Ini jelas jaringan terburuk, bahkan Three dengan kondisi backhaul yang mengenaskan masih lebih baik
    Satu-satunya alasan saya punya SIM O2 bersama SIM EE adalah tiket Priority dan sinyal di dalam venue O2

    • Kalau bisa mengakses jaringan 5G Standalone, kondisinya jauh lebih baik
      Namun perlu SIM baru dan ponsel yang kompatibel, dan perbedaan yang terasa benar-benar lain
  • giffgaff yang memakai jaringan O2 mengklaim tidak terdampak karena menggunakan implementasi layanannya sendiri di atas jaringan fisik O2
    Mungkin saja benar, tetapi karena sekarang saya tahu mereka dimiliki perusahaan yang sama, kemungkinan integrasinya tampak besar, jadi saya agak skeptis
    Kalau ada yang mencoba mereproduksi ini dengan SIM giffgaff, saya ingin tahu hasilnya

    • Telefónica sudah memilikinya sejak lama
      Seingat saya, Telefónica mengakuisisi O2 pada 2006, lalu meluncurkan Giffgaff sebagai merek baru pada 2009
    • Saya sudah mengujinya di jaringan giffgaff, dan memang terdampak
      Saya tidak tahu bagaimana mereka sampai pada kesimpulan berbeda
  • Apakah mematikan VoLTE bisa menjadi mitigasi? Saya melihat dokumentasi online tentang cara mematikannya di iPhone 11, tetapi di iPhone 15 saya opsi itu tidak ada

    • Tertulis bahwa “mematikan 4G Calling tidak mencegah header ini terekspos, dan ketika perangkat menjadi tidak dapat dihubungi, header internal tetap mengungkap sel terakhir yang terhubung serta sudah berapa lama sejak saat itu”
      Jadi sepertinya tidak akan efektif
    • Salah satu hal menyebalkan tentang O2 UK adalah mereka tidak mendukung VoLTE untuk pelanggan prabayar lama dan hanya mendukungnya untuk pelanggan berlangganan bulanan, tetapi sekarang hal itu justru terasa sedikit melegakan