Szerző: Koi Tamás

2010. március 29. 15:41

Árulkodik rólunk netezés közben a mobilunk

A SIM-kártyánk számát, vagy akár a privát telefonszámunkat is kikotyoghatják bizonyos mobiltelefonok, miközben internetezünk róluk.

Az előfizető egyedi azonosítóadatait ráadásul különösebb adatbányász-ismeretek nélkül gyűjtheti ki a szerveren tárolt látogatási statisztikákból a webhely üzemeltetője, állítja egy német egyetemista, Collin Mulliner, aki a vancouveri CanSecWest biztonsági konferenciáján tartott előadásában példákkal illusztrálva vázolta fel teóriáját. A probléma szerencsére nem érint minden mobilszolgáltatót, és a mobiltelefon típusától is függ, mit árul el a rendszer rólunk - hívja fel a figyelmet Mulliner. Egyelőre senkinek nincs pontos képe arról, világszerte mekkora előfizetői bázis személyes adatai lehetnek veszélyben.

Internetezés közben a webböngészők rendszerint több adatot is kiszolgáltatnak a kliens számítógépről, legyen az asztali PC, noteszgép, vagy akár mobiltelefon. A webhelyek üzemeltetői többnyire a látogatottsági statisztikákkal kapcsolatos elemzésekhez, valamint az oldalak optimalizálásához használják fel ezeket az adatokat, például a böngésző típusát vagy az operációs rendszer típusát és verziószámát.

A mobilos böngészők hasonló szinten osztanak meg adatokat webhely-üzemeltetőkkel, vagyis ha a mobilunkkal meglátogatunk egy weboldalt, az adminisztrátor látni fogja, hogy milyen típusú mobilról, milyen böngészőmotort használva jutottunk el a címre. Bizonyos szolgáltatók azonban proxyk közbeiktatásával továbbítják az adatokat a mobiltelefonra (főleg a korlátozott böngészőfunkciókkal ellátott, olcsóbb készülékekre), ezek a proxyk pedig olykor a felhasználók könnyű beazonosítására is alkalmas, bizalmas adatokat küldenek vissza a weboldal üzemeltetőjének.

Mulliner szerint az efféle esetek egyáltalán nem tekinthetők izoláltnak, a bizalmas ügyféladatok közt pedig SIM-kártya szám, ügyfélazonosító, vagy akár a mobil hívószám is szerepelhet. A szakember előadásában két szolgáltatót nevezett meg, melyeknél előfordult ilyen adatvédelmi probléma, az egyik a kanadai Rogers Wireless, a másik az angol Orange.

Azt egyelőre nem tudni, hogy a magyarországi mobilszolgáltatók közül bármelyik hálózatot érinti-e hasonló probléma, mindenesetre Mulliner létrehozott egy weboldalt, melyen minden előfizető ellenőrizheti, hogy a szolgáltatója milyen adatokat továbbít róla a HTTP fejlécen keresztül. Ha a weboldal zöld háttérrel jelenik meg, minden rendben, a piros háttér azonban azt jelenti, hogy a szolgáltató az előfizető mobilszámát is kiadja az üzemeltetőknek.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról