Можно ли найти человека по звонку? Если его оператор O2 — да, и это проще, чем кажется

В мобильной сети британского оператора O2 обнаружили серьёзную уязвимость , позволявшую определять точное местоположение абонентов. Проблема затрагивала реализацию технологии Voice over LTE (VoLTE) — системы передачи голоса по сетям четвёртого поколения, которая пришла на смену традиционной коммутации каналов в сетях 2G и 3G. В отличие от предыдущих стандартов, VoLTE преобразует голос в цифровые пакеты и передаёт их по IP-протоколу, что обеспечивает более высокое качество звука и эффективное использование частотного спектра.

Специалист по кибербезопасности Дэниел Уильямс случайно наткнулся на проблему во время рутинной проверки качества звука и поддерживаемых голосовых кодеков. Для своего исследования он использовал рутированный смартфон Google Pixel 8 с установленным приложением Network Signal Guru (NSG). root-доступ к устройству позволил приложению напрямую взаимодействовать с радиомодулем телефона и отслеживать низкоуровневый сетевой обмен, который обычно скрыт от пользователя.

В ходе анализа выяснилось, что при установлении соединения оператор отправляет чрезмерно подробные ответы по протоколу SIP (Session Initiation Protocol). Этот протокол представляет собой набор правил для создания, изменения и завершения мультимедийных сессий в IP-сетях. При каждом звонке устройства обмениваются SIP-сообщениями, содержащими параметры соединения: поддерживаемые кодеки, качество обслуживания, сетевые адреса и другие технические характеристики.

Изучая сетевой трафик, Уильямс обнаружил, что ответы серверов O2 включали не только стандартную служебную информацию, но и конфиденциальные данные в пяти дополнительных заголовках. Среди них были международные идентификаторы мобильного абонента (IMSI) — уникальные номера длиной до 15 цифр, хранящиеся на SIM-картах и используемые для аутентификации в сети. Также передавались коды IMEI — 15-значные серийные номера мобильных устройств, по которым можно определить производителя, модель и страну происхождения телефона.

Особую опасность представлял пятый заголовок с информацией о сотовой сети. Он содержал Mobile Network Code (идентификатор оператора), Location Area Code (код географической зоны) и Cell ID (уникальный номер базовой станции). Комбинация этих параметров позволяла точно определить, к какой соте подключен абонент. А поскольку расположение базовых станций можно узнать через общедоступные краудсорсинговые сервисы наподобие CellMapper, злоумышленник мог установить физическое местоположение человека.

В условиях городской застройки такой метод обеспечивал исключительно высокую точность геолокации. Современные мегаполисы используют многоуровневую архитектуру сотовой связи, где наряду с традиционными макросотами работают малые соты (small cells). Эти компактные базовые станции часто устанавливают на уличных фонарях и фасадах зданий для увеличения ёмкости сети в местах массового скопления людей. Зона покрытия каждой малой соты может составлять всего 100 квадратных метров, что превращает идентификатор базовой станции в крайне точный индикатор местоположения.

уязвимость затрагивала даже пользователей O2, находящихся в роуминге. Когда абонент подключается к иностранной сети, его телефон всё равно использует домашнюю SIM-карту для аутентификации, а все звонки маршрутизируются через инфраструктуру O2. В результате проблемный SIP-сервер продолжал раскрывать данные о местоположении.

Для осуществления атаки злоумышленнику достаточно просто позвонить жертве — детализированная информация автоматически передавалась в ответе сети. При этом сам процесс не требовал специального оборудования или глубоких технических знаний. Любое устройство с поддержкой VoLTE могло собирать эти данные, что делало уязвимость особенно опасной.

Обеспокоенный масштабом проблемы, специалист попытался связаться с представителями O2 26 и 27 марта. Однако компания никак не отреагировала на его сообщения. В итоге 17 мая Уильямс опубликовал подробный отчёт о найденной уязвимости. Лишь спустя два дня оператор наконец вышел на связь и сообщил об устранении проблемы. Больше воспроизвести атаку не удалось.