Цивилизация пришла и к нам. Такие технологии, как 3G и уже олдскульный GPRS,
у всех на слуху, у всех в кармане. Поползать по сети с мобильника теперь совсем
не проблема, ведь даже самые простые модели оснащены каким-то браузером. Да и
тарифы операторов не кусаются. Вот только появляются косяки другого плана.
На прошедшей конференции «CanSecWest 2010» исследователь Collin Mulliner
представил
свои изыскания в области мобильных технологий. Там много всего – от
модификации читалок до DoS’а мобилок. Но в рамках нашей темы интересен раздел
про раскрытие личной информации, такой как номер мобильника, например.
Из этого изыскания следует, что большинство операторов добавляют заголовки в
HTTP-запросы. Это связано с тем, что когда ты выходишь в интернет с обычной
трубки, то тебя пускают не напрямую в сеть, а через прокси, который и добавляет
эти заголовки. В зависимости от оператора могут добавляться MSISDN (номер
мобильного), IMEI (уникальный номер самого телефона) или IMSI (уникальный номер
симки). У кого как. По сути, проблема в плохо сконфигурированных проксиках.
Зачем оно надо (в благих целях) – не совсем понятно. В злых – вариантов
много, конфиденциальная информация, как-никак. Особенно с учетом того, что по
мобильнику очень легко вычислить данные владельца.
Протестить своего оператора можно тут –
mulliner.org/pc.cgi. Я
проверил Билайн – получил номер мобильника, его модель, примерное положение.
Думаю, у остальных ситуация не лучше.
Радует, что проблема касается только тех, кто ползает через ваповый инет, то
есть пользователи КПК, всевозможных глазофонов и 3G-модемов могут спать
спокойно, так как их не пропускают через злосчастный прокси.