- Un investigador de seguridad encontró una manera de extraer todo tipo de datos confidenciales de una llamada
- Entre los datos también estaba la información de la ubicación geográfica
- El error estaba presente desde principios de 2023 pero ahora se solucionó
O2 UK ha solucionado una vulnerabilidad en sus implementaciones de llamadas Volte y Wi-Fi que permitieron a los actores maliciosos descubrir las ubicaciones de las personas y otros identificadores.
En 2017, la compañía introdujo el servicio de subsistema multimedia IP (IMS), llamado “4G Calling”. El servicio proporciona una mejor calidad de audio y llamadas telefónicas más confiables. Sin embargo, Daniel Williams, un investigador de seguridad, analizó recientemente la función y descubrió que durante la llamada, pudo sacar todo tipo de información sobre su compañero de conversación, directamente de la red.
Esos datos incluyen la ubicación IMSI, IMEI y Cell.
Aplicando una solución
“Las respuestas que obtuve de la red fueron extremadamente detalladas y largas, y fueron diferentes de todo lo que había visto antes en otras redes”, dijo Williams en una publicación de blog detallada. “Los mensajes contenían información como el servidor IMS/SIP utilizado por O2 (Mavenir Uag) junto con números de versión, mensajes de error ocasionales recaudados por los servicios C ++ que procesan la información de llamadas cuando algo salió mal y otra información de depuración”.
Afortunadamente, la vulnerabilidad no estuvo presente desde principios de 2017, sino que se introdujo en febrero de 2023.
Para obtener la ubicación de la celda, Williams utilizó la aplicación Guru de señal de red en un dispositivo Pixel 8. Tiró los mensajes de señalización de IMS en bruto durante una llamada, y los usó para encontrar la última torre de celda a la que se conectó el destinatario de la llamada. Luego referenció esos datos con un mapa de torres celulares, identificando la ubicación de una persona dentro de 100 m2 en un entorno urbano. Sin embargo, en un entorno rural, la información era algo menos precisa.
Williams dijo que se comunicó con O2 UK varias veces y, al principio, no recibió respuesta. Más tarde, la compañía informó que el problema se había solucionado, lo que Williams también confirmó.
“Nuestros equipos de ingeniería han estado trabajando y probando una solución durante varias semanas: podemos confirmar que esto ahora se implementa por completo, y las pruebas sugieren que la solución ha funcionado, y nuestros clientes no necesitan tomar ninguna medida”, dijo Virgin Media O2 BleepingComputer.
A través de BleepingComputer
