Telenor trækker stikket på test der afslører mobilnummer sendt over HTTP

Efter den seneste debat om mobilnumre sendt via HTTP-headere, har Telenor nu lukket for en metode, der blev brugt til at vise, hvordan det foregår. Metoden kunne potentielt også udgøre et sikkerhedsproblem.

Blandt andet på Twitter har internetaktivist og datalog Christian Panton foranlediget en heftig debat med en test, der viser, hvordan nogle teleselskaber sender kunders telefonnumre til udvalgte samarbejdspartnere via HTTP-headeren, når der surfes fra den mobile dataforbindelse.

Nu har Telenor taget konsekvensen og lukket for den metode, der gjorde testen mulig. Det bekræfter pressechef Tom Lehn-Christiansen:

»Ja, vi lukkede for dette i går aftes,« skriver han i en mail ud at gå i yderligere detaljer.

Christian Pantons demonstration anvender kommando-linje-værktøjet curl. Nærmere bestemt har testen foregået med kaldet:

curl -H "Host: portal.unwire.dk" http://headertest.panton.org

Det sætter HTTP-host-headeren til at være portal.unwire.com - Unwire er en af de samarbejdspartnere, flere teleselskaber sender mobilnummeret til ved surf fra den mobile dataforbindelse. Men den faktiske opkobling sker til Christian Pantons server, som returnerer flere af de header-felter, mobiltelefonen kalder med. Og her ligger mobilnummeret i et af felterne.

Læs også: Mobilsurf: Danske teleselskaber sender dit telefonnummer til hjemmesider

Tidligere, når Telenor med host-headeren har registreret, at kaldet foregår til en godkendt URL hos en samarbejdspartner, har teleselskabet også indskudt nummeret på mobiltelefonen, der sufes fra, i et header-felt. Og det er fremkommet af Pantons test, da den har returneret header-felterne. Her har brugere så kunnet se deres eget mobilnummer, som et af felterne.

Det er ikke muligt længere. Muligvis fordi Telenor ikke blot checker, hvorvidt host-headeren er en godkendt URL, men nu også scanner for, om ip-adressen, der kaldes op til, passer sammen med url'en i host-headeren.

»Der er flere måder at implementere sådan et filter på, men det er da en af de oplagte,« skriver Christian Panton i en mail til Version2.

Han vurderer, at det er med til at øge sikkerheden i forhold til misbrug, at Telenor nu ikke sender telefonnummeret med den mobile dataforbindelse baseret alene på host-header.

Den vurdering er HTX-studerende og it-interesseret Emil Stahl enig i. Ved siden af studierne arbejder han blandt andet med programmering og hjemmesider. Han har fulgt sagen tæt og været i løbende dialog om den med Telenor - både telefonisk og på Twitter.

Emil Stahl mener, at det har kunnet lade sig gøre at misbruge funktionaliteten via en mobil-app.

»Telenor har lukket for et sikkerhedshul, hvor en app på den måde, ville kunne få oplyst telefonnummeret, selvom den ikke have tilladelse til det,« siger han.

Ifølge Emil Stahl ville en app kunne sende en http-forespørgsel med en - af teleselskabet - godkendt host-header, hvorefter en server svarer tilbage med telefonens nummer. Dette vil så kunne tilgås af app'en, selvom den i udgangspunktet aldrig har fået tilladelse til at indhente telefonens nummer

Selvom der nu måtte være lukket ned for den metode, mener Emil Stahl dog, det ville være bedre, hvis kunderne aktivt tilvalgte, at deres telefonnumre blev sendt via HTTP-headeren til teleselskabernes samarbejdspartnere i stedet for, at det sker automatisk.

Ifølge Version2’s oplysninger, har TDC også sendt mobilnumre til udvalgte samarbejdspartnere alene baseret host-headeren, hvilket ifølge en test heller ikke længere lader til at være tilfældet.

Teleselskabets presseafdeling har dog endnu ikke kunnet bekræfte, at selskabet har lukket for den mulighed. Derudover forlyder det, at i hvert fald et af TDC’s datterselskaber stadig sender nummeret med i HTTP-headeren alene baseret på host-header-informationen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
Emil Stahl

men jeg kan stadigvæk ved besøg af en anden testside se at de stadigvæk får mit telefon nummer ?

Og det vil aldrig stoppe. Teleselskaberne fortsætter med at give dit nummer til "godkendte partnere". Forskellen er bare at curl/header hullet er lukke af teleselskaberne, så det ikke kan misbruges af fx. en app. Unwire er så naive kun at lukke den ene som var spredt på nettet, og ikke tro andre ville blive fundet..

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017