Puhelimella surffaajan yksityisyydestä
Asia on oikeastaan vanha, sillä ensimmäiset maininnat tästä löydän vuosilta 2003 ja 2004, mutta minulle tämä pisti silmään vasta nyt. Luin Janne Jalkasen blogikirjoituksen, jonka mukaan Elisan WAP-GPRS-yhdyskäytävä välittää eteenpäin matkapuhelinten numerot millä tahansa HTML- tai WAP-sivulla vieraillessa.
Kokeilin Jannen tekemää testisivua DNA Finlandin, Saunalahden ja Soneran liittymillä WAP-GPRS-asetuksilla (mitenkään niitä suosimatta, vaan näiden liittymät nyt vain sattuivat löytymään puhelimista). Kaikilla sivu avautui, mutta numeroa paljastavaa X-MSISDN-headeria ei välittynyt mukana. Jannen sivun blogikommenteissa taas moni raportoi, että Saunalahtikin välittäisi WAP-yhdyskäytävältään puhelinnumeron.
On tietysti selvä, että operaattori tietää asiakkaan puhelinnumeron ja että numero välittyy tämän omille palvelimille, mutta miksi numero pitää lähettää kenen tahansa HTML- tai WAP-sivulle? Kuuluuko tämä tehdä näin? Pikakyselyllä asiasta tuntui olevan erilaisia näkemyksiä, joidenkin mielestä speksit vaativat WAP-yhdyskäytävältä numeron välittämistä, toisten mielestä eivät vaadi.
Nopealla Google-haulla en saanut muuta selkoa asiaan kuin että monissa WAP-proxyissä on mahdollista valita välitetäänkö numero kaikille palvelimille vaiko vain tietyille (kuten operaattorin omalle).
En osaa olla tästä kovin huolissaan, mutta on kiinnostavaa, että operaattoreiden käytännöt vaihtelevat Suomessakin, vaikka yleensä yksityisyyteen liittyvät asiat ovat olleet tarkasti määriteltyjä ja suunnilleen samalla tapaa toteutettuja. Puhelimen käyttäjän taas on hyvä tiedostaa mitä tietoja paljastaa itsestään netissä surffatessaan puhelimen käyttöjärjestelmän ja selaimen sekä IP-osoitteen ja operaattorin lisäksi.
Tunnisteet: Google
Kommentit: 4
Jups, 4mobile oli kirjoittanut aiheesta kanssa jo vuonna miekka ja kilpi, mutta näemmä mikään ei ole muuttunut sitten sen jälkeen.
Pelottavampaa kuin se että webbisivuston pitäjät saavat selville kuka niiden sivuilla surffaa on se, että tuota on ainakin ennen käytetty oikeasti käyttäjien tunnistamiseen (ja siten myös laskutukseenkin?) eikä ole kovinkaan kummoinen homma väärentää http headereissa meneviä tietoja ... liikennettähän menee www palvelimille muidenkin kuin operaattorien wap-yhdyskäytävien kautta kautta ja tuskin ne sitä eritysemmin tarkistaa mistä se on tullut.
Tälläisen skenaario tuli nopeasti mieleen, että avaisi normaalilla gprs yhteydella yhteyden ja lähettäisi samat headerit kuin mitä operaattorin wap-gatewaykin lähettäisi niin ei serveri voi mitenkään tietää että tuleeko tiedot suoraan wap-gw:ltä vai selaimelta. Ainoa mitä se näkee on ip joka kummassakin tapauksessa se tulee samasta operaattorin gprs ip-poolista joten siitäkään ei voi päätellä kuin että yhteys tulee operaattorin verkosta...
tietty voipi olla että tuleepi vain gw:n ip, mutta kovin dynaamiselta tuon yhden sivun ip osoite ainakin näytti. Olisin itse testannut miten tuo on, mutta näemmä dna:n wap itsepintaisesti jätti toimimatta p800:ssani.. joten luovutin.
Omat hämärät muistikuvat ovat tästä aiheutuneesta pienimuotoisesta kohusta parin vuoden takaa. Ainakin Sonera mielestäni silloin poisti ko. headerin välityksen, ja luulin muidenkin operaattorien poistaneen. Asia kannattaa kyllä selvittää perin pohjin.
Itseäni huolettaa myös, mitä tietoja eri symbian-sovellusten "search for updates"-toiminto lähettää ohjelman tekijälle. Onkohan Series 60 -puhelimiin debuggaustarkoituksessa tehty (mieluiten ilmaista) liikenteen logitussovellusta / protokolla-analysaattoria?
Sonera ei ymmärtääkseni julkisen wap yhdyskäytävän kautta ole numeroa lähettänyt vieraille koskaan.
Radiolinja/Elisa on tainnut sen lähettää aina, Telia aikoinaan, samoin taisi tehdä DNA.
Kaikki eivät ole käyttäneet ihan samanmuotoista otsikkoa.
Mailmalla tuo on suhteellisen harvianista, mutta kuitenkin niin jotkut tekevät, myös käytetään IDtä, joka ei suoraan paljasta numeroa, mutta auttaa esim palvelimen pitäjää tunnistamaan käyttäjän.
Asiasta on ilmeisesti aikoinaan tehty jonkinasteisia viranoamis kyselyjä ja niihin Elisan on kai jonkin selvityksen antanut.
Aikoinaan eräät palvelut päästivät maksullisiin palveluihin käyttäjän itsensä tekemällä otsikko tiedolla. Asiaa koskeviin useampiin valituksiin ei koskaan vastattu, myöhemmin kyseiset palvelut ovat toki muuttuneet paremmiksi.
T:SS
Verkkolokkeria olen itsekin etsinyt, turhaan. Nokiakin kun päätti nuolla operaattoreita ja poistaa uudemmista puhelimista verkon käytön PC:n läpi, ei voi sitäkään kautta tutkailal mitään mitä tapahtuu.
Ja kuka tietää mitä kaikkea itse puhelin tekee, jos jätät GPRS-yhteyden päälle?
- Symbiatch
Lähetä kommentti
<< Etusivulle