Virgin Media 02の脆弱性が通話受信者の位置を露出

出典: Andriy Popov via Alamy Stock Photo

ニュース概要

イギリスの大手メディアおよび通信会社であるVirgin Media 02 (VMO2)は、4G CallingおよびWi-Fi Calling機能に見つかったセキュリティ脆弱性を修正しました。

4G Callingは、O2 UKが2017年に提供を開始したボイスオーバーLTE (VoLTE) サービスで、2021年にVirgin Mediaと合併する前に開始されました。これにより、従来のセルラー信号ではなく、LTE接続を使用してVoIP通話が可能になります。Wi-Fi Callingは、AppleのFaceTime機能に似たWi-Fi上でのVoIPを可能にします。

この脆弱性により、ユーザーは通話相手の一般的な位置を特定できる可能性があったと、研究者のDaniel Williamsは述べています。彼は、サービスのシグナリングメッセージ (SIPヘッダー) に過剰な情報が含まれていたため、通話受信者を特定できたと述べています。これには、SIMカードを通じてユーザーを識別する国際移動体加入者識別番号 (IMSI) 値、各デバイスのシリアル番号であるIMEI、およびセルタワーやネットワーク基地局に割り当てられる番号であるセルIDヘッダーが含まれます。

彼によれば、場合によっては、位置追跡は理論的には100平方メートル、つまり隣り合わせに置かれた2つのサッカー場の大きさに相当する精度で可能であるとしています。

Williamsは、この情報をCellMapperなどの公開ツールに入力して、通話受信者の位置情報を収集できると述べています。そして、ほとんどの人は位置情報にアクセスできないものの、「モバイルネットワークの基本的な理解」があれば誰でもこれを実行できるとしています。

Williamsはこの問題に関する 調査結果 を5月17日に公開しましたが、当初VM02からの返答はありませんでした。しかし、昨日、モバイルネットワークオペレーターのスポークスパーソンは、問題が解決されたとメディア声明で述べ、Williamsに感謝の意を表しました。

「我々のエンジニアリングチームは数週間にわたって修正に取り組み、テストを行ってきました」と VM02のスポークスパーソンは述べました。「これが完全に実装され、テストの結果、修正が機能したことが確認され、顧客は何も行動を起こす必要がないことが分かりました。」

Williamsは、昨日の時点で脆弱性が解決されたことを独自に確認したと述べています。