Personal 3G envía el número de teléfono a todos los sitios visitados
Les quiero poner al tanto de un grave problema de seguridad que existe al conectarnos a internet desde el MM2, en particular cuando usamos la red 3G de Telecom Personal (sea GPRS / EDGE o 3G / HSPA). Puede ser que ocurra en otros modelos, hasta ahora sólo lo pude verificar en tres Milestone 2 con la ROM de serie de Personal.
Básicamente, cada vez que usamos el navegador por defecto NUESTRO NÚMERO DE CELULAR queda visible para todas las páginas que visitamos. Puede que suene al típico hoax que se ve en internet pero, tristemente, es cierto en este caso. Lo comprobé personalmente cuando, tras visitar por error un enlace publicitario, me llegó inmediatamente un SMS del 2112 diciéndome que me había suscrito y me enviarían un mensaje por día al coste de $1,25. ¿Casualidad? No.
Resulta que Telecom Personal, por oscuras razones, agrega ciertos HTTP Headers adicionales tras pasar por un 'Proxy' que por lo visto usna para la navegación Web 3G. Sabrán lo del proxy si alguna vez vieron errores del tipo "The Request Failed", con un link a la Home de Personal. O un error que dice algo del "Radius Server". Bien, entre esas Headers que se agregan, encontramos esta:
Cualquier página interesada en ese dato, no tiene más que consultar el valor de este campo y ya tienen el número de celular de quien está visitando la página. Imaginen que estafas servicios como el del 2112 están encantados con esta "funcionalidad".
Cabe aclarar que esto no sucede si estamos conectados vía Wifi, así como tampoco sucede si usamos un navegador distinto al navegador de serie de nuestra ROM de Personal.
Si entran ahí, van a ver un montón de información. Busquen la sección "HTTP Headers" y busquen el que pongo arriba.
¿Qué les parece? Creo que es un problema muy grave de seguridad / privacidad, aunque sinceramente dudo de que sea un fallo. Más bien parece a propósito.
Actualizado 25/04: al parecer Personal ya no envía esa información y hemos publicado cómo librarse de los proxys de las compañías de telefonía móvil.
Fuente: Grupo Android y Fabio también lo menciona
Básicamente, cada vez que usamos el navegador por defecto NUESTRO NÚMERO DE CELULAR queda visible para todas las páginas que visitamos. Puede que suene al típico hoax que se ve en internet pero, tristemente, es cierto en este caso. Lo comprobé personalmente cuando, tras visitar por error un enlace publicitario, me llegó inmediatamente un SMS del 2112 diciéndome que me había suscrito y me enviarían un mensaje por día al coste de $1,25. ¿Casualidad? No.
Explicación técnica
Cada vez que visitamos un sitio en internet, nuestro navegador envía una serie de información como parte del 'Request', como por ejemplo la versión de nuestro navegador, limitada información geográfica, dominio, ISP, lenguaje, zona horaria, etc etc. Todo esto se envía como parte del Request HTTP en lo que se llaman HTTP Headers, que es información que compartimos con los sitios web generalmente para facilitar la navegación (por ejemplo, las páginas pueden detectar que tenemos un Android y renderizar las páginas para que se vean correctamente en nuestro dispositivo).Resulta que Telecom Personal, por oscuras razones, agrega ciertos HTTP Headers adicionales tras pasar por un 'Proxy' que por lo visto usna para la navegación Web 3G. Sabrán lo del proxy si alguna vez vieron errores del tipo "The Request Failed", con un link a la Home de Personal. O un error que dice algo del "Radius Server". Bien, entre esas Headers que se agregan, encontramos esta:
HTTP_X_MSISDN -> Acá va nuestro celular, en formato 5411XXXXXXXX.
Cualquier página interesada en ese dato, no tiene más que consultar el valor de este campo y ya tienen el número de celular de quien está visitando la página. Imaginen que estafas servicios como el del 2112 están encantados con esta "funcionalidad".
Cabe aclarar que esto no sucede si estamos conectados vía Wifi, así como tampoco sucede si usamos un navegador distinto al navegador de serie de nuestra ROM de Personal.
¿Cómo puedo saber si estoy afectado por este problema?
Hay muchas páginas en internet que nos muestran toda la información que compartimos con la web. Un compañero me pasó el dato de este sitio Whoer, que es muy completa y nos muestra todas las headers.Si entran ahí, van a ver un montón de información. Busquen la sección "HTTP Headers" y busquen el que pongo arriba.
¿Qué les parece? Creo que es un problema muy grave de seguridad / privacidad, aunque sinceramente dudo de que sea un fallo. Más bien parece a propósito.
Actualizado 25/04: al parecer Personal ya no envía esa información y hemos publicado cómo librarse de los proxys de las compañías de telefonía móvil.
Fuente: Grupo Android y Fabio también lo menciona
Acabo de probar en whoer con un BlackBerry (Movistar) y no se envía la cabecera :).
ResponderBorrarAparentemente, se utilizan los servidores de RIM, por lo que sería merito del BlackBerry no de Movistar. Sería interesante que alguien pruebe con un Android de Movistar (o Claro) o un blackberry de otra empresa a modo de confirmar que para todas es así.
Saludos, muy buena la página!
Acabo de probar con el Nokia N95 de mi hermano (Movistar) y tampoco se muestra el header con el numero de telefono.
ResponderBorrarLo de entrar en un link "publicitario" o encubierto con una redirección y/o url acortada y terminar suscripto sigue pasando en personal y en movistar. Ahora el número de teléfono no va en la cabecera, pero tal vez personal le de a sus socios (los que te mandan los mensajes) un servicio de transformación de dirección IP a número de teléfono. Es trivial, el sitio web agarra la IP, consulta al webservice de personal "dame el número de esta IP" y listo, te suscriben. Hay que usar wifi siempre que se pueda o el Opera Mini siempre.
ResponderBorrar