Заголовки HTTP могут выдать номер мобильного телефона

Выходя в Интернет с мобильного устройства, пользователь незаметно для себя может оставить на посещаемых сайтах персональную информацию, включая номер телефона, заявил в своем выступлении на конференции CanSecWest аспирант Берлинского технического университета Коллин Муллинер (Collin Mulliner).

Исследователь безопасности, называющий себя хакером мобильных телефонов, обнаружил это явление, просмотрев логи веб-сервера своего сайта и изучив большое количество заголовков HTTP, пересылаемых в сетях крупнейших операторов мобильной связи. По его словам, эти данные можно использовать для идентификации личности пользователя, поскольку в них могут содержаться международный идентификационный номер подписчика (IMSI), номер аккаунта абонента и номер мобильного телефона, с которого производилось подключение.

За утечку информации оказались ответственными прокси-серверы, используемые для преобразования пересылаемых данных таким образом, чтобы они корректно отображались на небольших дисплеях мобильных устройств. В сетях некоторых операторов – в их числе оказались британский Orange и канадский Rogers Wireless – при трансформации данных к информации, отправляемой на сайт и сохраняемой в его журналах, добавляются сведения о пользователе, с помощью которых можно однозначно определить его личность.

"Вы можете точно идентифицировать таких посетителей вашего сайта, так как номер мобильного телефона гораздо более определенно указывает на конкретного человека, чем, скажем, адрес электронной почты," – заявляет Муллинер.

Обнаруженная проблема в большей мере касается не самых дорогих мобильных телефонов, которым из-за малых размеров экрана требуется изменение формата веб-страниц с использованием прокси. Современные смартфоны, такие как iPhone или модели под управлением Android, в такой технологии не нуждаются, а потому утечка данных об их владельцах гораздо менее вероятна.

Для желающих проверить безопасность своего телефона Муллинер создал специальную страницу, MNO Privacy Checker, которая позволяет просмотреть полученные заголовки HTTP и определяет утечку персональных данных. При безопасном соединении фон страницы остается зеленым, при обнаружении в заголовках телефонного номера – становится красным. Сообщая пользователям о возможном риске, автор обещает не сохранять данные, полученные в ходе этих тестов.