Teleselskabernes nummertrick lader apps høste danskernes hemmelige numre

Fordi danske teleselskaber automatisk sender dit nummer til samarbejdspartnere, kan det også give apps adgang til dit telefonnummer, selvom du ikke har givet appen tilladelse til det. Se en demonstrationsvideo her.

Flere af de store danske teleselskaber sender automatisk dit mobilnummer til udvalgte samarbejdspartnere, når du surfer ind på specifikke domæner, som datalog og internetaktivist Christian Panton har demonstreret, og som Version2 beskrev i sidste uge.

Nu viser det sig, at også 3. parts app som konsekvens af dette kan få adgang til nummeret. Vel at mærke uanset om app’en ellers har tilladelse til at tilgå den slags data, og uanset om nummeret er hemmeligt eller ej.

Det fremgår af en demonstrationsvideo, som HTX-studerende Emil Stahl, der har fulgt sagen tæt, har lavet. Her viser han, hvordan en app, udviklet af Emil Stahls kammerat Jonas Boserup, kan fiske telefonnummeret ud af en iPhone, selvom app'en ikke har tilladelse til det.

Læs også: Mobilsurf: Danske teleselskaber sender dit telefonnummer til hjemmesider

At det foregår på en iPhone, er i sig selv bemærkelsesværdigt. Apple tillader nemlig slet ikke, at apps får adgang til mobilens telefonnummer, fortæller Esben Thorving Bjerregaard,
Solutions Architect & Partner i app-udviklingsfirmaet iDeal Development.

»Det er normalt ikke noget, der kan lade sig gøre på nogen som helst måde,« siger han.

Esben Thorving Bjerregaard har kigget på koden bag demonstrations-app'en, og han vurderer, at teknikken, app'en anvender, ser troværdig ud.

I det konkrete tilfælde udnytter app'en, at en af teleselskabernes samarbejdspartnere, Unwire, på flere undersider har indlejret mobilnummeret i html-koden, når undersiderne bliver tilgået fra den mobile dataforbindelse. App'en kan derfor lave et kald til siderne og hente telefonnummeret ud.

Herefter kan numrene i princippet sendes videre og samles i en database. Uanset om brugeren har givet app'en tilladelse eller ej.

Selskabet Unwire, der blandt andet laver mobile betalingstjenester, er et af de selskaber, der har en aftale med teleoperatørerne, som betyder, at Unwire i visse tilfælde gør brug af telefonnumre, sendt via http-headeren. Unwire oplyser til Version2, at virksomheden ikke har nogen kommentarer til, at en app via Unwires hjemmesider har kunnet fiske telefonnumre frem. Unwire har nu taget flere undersider ned, som har kunnet bruges til at eksponere telefonnumre. Version2 har dog tilgået siderne tidligere og kunnet bekræfte, at mobilnumre har været tilgængelige i html-koden via siderne.

Også Telenor har været i gang med at rode i virksomhedens setup efter Christian Pantons demonstration. Således bliver mobilnummeret ikke længere sendt alene baseret på den såkaldte host-header. Intet tyder dog på, at dette fiks har lukket for, at en 3. parts app kan høste telefonnumre via den app, Emil Stahl demonstrerer i videoen.

Læs også: Telenor trækker stikket på test der afslører mobilnummer sendt over HTTP

Generelt set er Esben Thorving Bjerregaard overrasket over, at selskaberne videresender mobilnumrene til 3. part ved at føje nummeret til http-headeren, efter at datapakken har forladt telefonen.

»Det, synes jeg, er helt uacceptabelt. Som absolut minimum bør de nævne, hver gang de sender mobilnummeret til en 3. part.«

Telenor har i løbet af debatten henvist til virksomhedens kundevilkår (PDF). Nærmere bestemt punkt 11k på side 10.

Her står der under overskriften ‘Registrering og anvendelse af data’: Telenor overfører oplysninger om dit mobilnummer til leverandøren af den indholdstakserede tjeneste.

Dette giver Esben Thorving Bjerregaard dog ikke meget for:

»Det er fint, de har skrevet det i deres betingelser. Men den almindelige forbruger læser jo ikke de betingelser.«

Langt værre end cookies

Han mener, at metoden med at medsende numre til samarbejdspartnere, er langt mere invaderende for privatlivet end de cookies, som hjemmesider sætter på brugernes computer.

»Det her er jo langt værre end cookies. Hvis du laver 'private browsing', så er man jo ude over det problem. Det er relativt nemt at komme udenom for den almindelige bruger. Hvorimod det her, det sker jo fuldstændig, uden at man på nogen måde bliver spurgt om det.«

Telia, TDC og Telenor gør det

Telia, TDC og Telenor bekræfter over for Version2, at selskaberne automatisk medsender mobilnumre til det, de beskriver som betroede samarbejdspartnere, når visse url’er bliver tilgået. 3 anvender ikke samme metode. Pressechef i 3, Tanja Krebsø, skriver i en mail til Version2:

»Vi bruger ikke header enrichment. Hos os er det noget, der har været anvendt tilbage i tiden – og senest, da debatten var oppe i 2011, bad vi vores daværende leverandør, Unwire, om at sørge for, at der var sikkerhed omkring vores kunders identitet (læs: telefonnumre), når de benyttede sig af nogle af de tjenester, som gik gennem Unwire,« skriver hun og fortsætter:

»I dag benytter vi Paii til de bilaterale aftaler, vi tidligere har haft med bl.a. Unwire – og det er således Paii, der nu har ansvaret for indholdsleverandørernes aftaler.«

Hos TDC svarer pressemedarbejder Rasmus Avnskjold via mail følgende på spørgsmålet om, hvilke samarbejdspartnere der kan få et mobilnummer sendt med i http-headeren:

»Det kan de samarbejdspartnere, som TDC godkender og har tillid til vil behandle alle oplysninger dybt fortroligt. Det fremgår fx af kontrakten, at alle informationer udelukkende må anvendes til at betjene kunden på den konkrete tjeneste.«

Pressechef i Telia David Engstrøm skriver i en mail om samme emne:
»Her er tale om ganske få betroede partnere, med hvem vi laver en databehandleraftale i overensstemmelse med persondatalovgivningen for at sikre, at vores partner overholder den nødvendige fortrolighed og sikkerhed i forhold til vores data. Og det er værd at bemærke, at her alene er tale om telefonnumre og ikke personfølsomme oplysninger eller navn og adresse mv.«

På spørgsmålet om, hvor mange samarbejdspartnere der har adgang til tjenesten fra teleselskaberne, hvor mobilnummeret automatisk sendes med, skriver pressechef i Telenor Tom Lehn-Christiansen i en mail til Version2:

»En håndfuld partnere. Mobilnummer i http-headere er et værktøj, som gør det nemmere for partnere at afvikle deres tjenester. Alternativet ville fx være, at kunderne skulle indtaste deres mobilnummer, hver gang de ønsker adgang til en tjeneste samt eventuelt gennemløbe ekstra tjek med sms-kode.«

Også hemmelige numre

TDC, Telia og Telenor fortæller, at også hemmelige telefonnumre bliver sendt med på linje med andre telefonnumre. Ingen af selskaberne ønsker dog at oplyse, konkret hvilke samarbejdspartnere der pr. automatik får - også hemmelige - telefonnumre sendt med, når visse sider tilgås fra mobilen.

Version2 har forelagt koden bag Jonas Boserups iPhone-app for Telia, TDC og Telenor. Vi ville gerne have haft en kommentar til, at det via selskabernes samarbejdspartnere og som følge af den automatiske medsendelse af telefonnumre er muligt for en 3. parts app at tilgå og potentielt indsamle telefonnumre i det skjulte.

Ingen af de tre teleselskaber har dog ønsket at kommentere dette. I stedet henviser de til Jakob Willer, direktør for branchesamarbejdet Teleindustrien for en samlet udtalelse. Han skriver i en mail:

»I erkendelse af, at det nuværende setup ikke er hensigtsmæssigt, er der i brancheregi taget initiativ til, at man på tværs af teleselskaberne foretager en nærmere undersøgelse af fænomenets omfang. Skulle det vise sig nødvendigt med yderligere sikkerhedsforanstaltninger end dem, der allerede er foretaget, vil dette naturligvis ske. Det gælder for alle selskaber i TI. Tillige er det værd at bemærke, at ingen af teleselskaberne heller ikke i en historisk kontekst har kendskab til, at der har fundet misbrug sted.«

Både TDC, Telia og Telenor er medlemmer af Teleindustrien. 3 er ikke. På spørgsmålet om, hvorvidt selskaberne faktisk ved, hvorvidt der har fundet misbrug sted, svarer Jakob Willer tilbage:

»Ingen af selskaberne har kendskab til, at der har fundet misbrug sted.«

Misbrug eller ej, så kunne et lidet ønske scenarie være, at en ondsindet app finder vej ind på en smartphone, og uden brugernes accept begynder at høste mobilnumre. Emil Stahls video demonstrerer scenariet med Jonas Boserups proof of concept- app, der udnytter en af Unwires nu nedtagede undersider:

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mogens Ritsholm

det følger af EU-direktiv som udmøntet i § 20 i udbudsbekendtgørelsen, hvor der står:

§ 20. Udbydere af offentlige elektroniske kommunikationsnet eller -tjenester, som udbyder A-nummervisning, jf. § 2, stk. 1, nr. 14, skal give mulighed for, at den kaldende abonnent gratis kan forhindre A-nummeroverførsel,

Læg mærke til, at udbudet ikke kun gælder videregivelse via telefonop0kald, men også videregivelse via enhver anden tjeneste.

Ellers ville det jo også være meningsløst.

Hemmelige numre udveksles mellem net, men de må ikke videregives til kunder eller tjenester uanset hvor god forbindelse teleselskabet har til disse.

  • 29
  • 0
Tom Nielsen

Det er dejligt at vide, at teleselskaberne sparer mig for, i nogle tilfælde, at skulle taste mit eget nummer ind. Jeg er sikker på, at der ikke findes andre løsninger på det problem, der ikke videregiver mit telefonnummer. sarkasme

Det er lidt tyndt spundet fra deres side. Løst parafraseret er Telenor's hovedargument: "Vi gør det for brugernes egen skyld!".

  • 4
  • 0
Christian Panton

"Header enrichment" - eller læk af persondata (som normale dødelige måske nemmere forstår det som), virker ikke på HTTPS. Derfor kan jeg kun forestille mig at applikationer og services som anvender denne feature som udgangspunkt ikke er sikre, slet ikke til betalingsøjemed. Luk det med det samme.

  • 19
  • 0
Søren Fuglede Jørgensen

Derfor kan jeg kun forestille mig at applikationer og services som anvender denne feature som udgangspunkt ikke er sikre, slet ikke til betalingsøjemed.

Ikke desto mindre lader det jo til, at Telenor vil benytte teknikken til autentisering:

samt eventuelt gennemløbe ekstra tjek med SMS-kode

De har så tydeligvis ikke forstået, at det står enhver bruger frit for at ændre i headers efter behov.

  • 5
  • 0
Morten Siebuhr

"Header enrichment" - eller læk af persondata (som normale dødelige måske nemmere forstår det som), virker ikke på HTTPS.

Det er forkert at antage at Man-In-The-Middle angreb* ikke kan udføres mod HTTPS forbindelser. Hvis producenten (eks. Nokia) eller operatøren (gennem operatør-leverede telefoner) tilføjer ekstra certs eller lignende, har du ikke mange chancer.

*) Eller: "vi gør lige noget smart ved al din trafik - og HTTPS skal vil selvf. også hjælpe med"

  • 6
  • 0
Frithiof Andreas Jensen

"I gamle dage" sad IP-interfacet ofte på operatörsiden; Mobilen's OS ganske vist IP-socket's men kaldene gik via RPC til operatörens API. Muligvis har man bevaret dette princip i smartphones - GSM-delen ligger jo neden under "smart"-delene.

  • 0
  • 0
Jens Jönsson

[quote]Pressechef i Telia David Engstrøm skriver i en mail om samme emne: »Her er tale om ganske få betroede partnere, med hvem vi laver en databehandleraftale i overensstemmelse med persondatalovgivningen for at sikre, at vores partner overholder den nødvendige fortrolighed og sikkerhed i forhold til vores data. Og det er værd at bemærke, at her alene er tale om telefonnumre og ikke personfølsomme oplysninger eller navn og adresse mv.«[/qoute]

Så han mener ikke at man kan udlede navn og adresse ud fra et telefonnummer ?
Der må være noget jeg har misforstået når jeg slår telefonnumre op på f.eks. KRAK for at se hvor vedkommende bor...

Hvad er det for en branche han arbejder i ? Måske er han gået galt i byen og tror han arbejder i en anden branche end han vitterligt gør.....

  • 9
  • 0
Lenni Madsen

Lad os lave et par antagelser:
1) virksomheden med den indholdstakseret webside har død og pine behov for at entydigt identificere mobiltelefonen (ikke ejeren af mobiltelefonen underligt nok).
2) Mobiltelefon selskabet kan entydigt identificere deres kunder (evt. med mobilnummer, giver mening grundet deres afregningsmodel).

Er det så ikke muligt for mobiltelefonselskabet at kunne give en entydig identifikation af en mobiltelefon med en eller anden UUID i stedet for mobilnummeret? Her kommer man nok på tværs af mobiltelefonselskabets ønske om at lave penge på brugeren uden at sikre brugerens hemmelig nummer (selvom det er ønskeligt at de ikke aflevere nogen telefonnumre).

  • 0
  • 0
Flemming Hansen

Jeg har (heldigvis) ikke et teleselskab som er omfattet, men jeg tænker på at man måske kan komme uden om det hvis man bruger en VPN forbindelse.
http://lessonslearned.org/sniff kan man teste om man er "ramt" for så bliver ens telefonnummer vist på siden. Kan en læser med Telia, TDC eller Telenor, som også har VPN abonnement evt teste det?

  • 0
  • 0
Mogens Ritsholm

quote]Pressechef i Telia David Engstrøm skriver i en mail om samme emne: »Her er tale om ganske få betroede partnere, med hvem vi laver en databehandleraftale i overensstemmelse med persondatalovgivningen for at sikre, at vores partner overholder den nødvendige fortrolighed og sikkerhed i forhold til vores data

Når det gælder hemmelige numre, må Telia end ikke udlevere disse numre til brug for deres egne tjenester.

Nummeret må kun udveksles via SS7 med andre telefonnet. Og en markering i SS7 skal angive, at de hverken må videregives til kunder eller tjenesteudbydere inkl. teleselskabets andre tjenester.

Det er noget helt fundamentalt for tilliden til hemmelige numre, og der slås normalt ned på overtrædelser med hård hånd. I Danmark er det erhvervsstyrelsen, der varetager tilsynet med dette.

  • 4
  • 0
Mogens Ritsholm

hverken udeladte eller hemmelige numre må videregives til kaldte kunde eller andre tjenester.

Forskellen er, at du optræder med navn og adresse - men ikke nummer - i 118-data til telefonkataloger mv. for et hemmeligt nummer.

For et udeladt nummer er du slet ikke i tilgængelige 118-data. Men et udeladt nummer er altså også hemmeligt.

Politiet har dog adgang til en særlig 118-database med alle oplysninger.

  • 2
  • 0
Jens Jönsson

Hemmelige numre er numre der ikke figurerer i telefonbogen, men hvor A-nummeret vises.

Udeladte numre hverken optræder i telefonbogen, eller vises ved A-nummer overførsel.

Er det ikke omvendt?

Jo, udeladte numre optræder ikke i telefonbogen, men nummeret vises (hos nogle teleselskaber) ved opkald
Med hemmeligt nummer er nummeret ikke at finde i telefonbogen og det vises heller ikke ved opkald.

Der er så nogle teleselskaber der heller ikke viser nummeret ved opkald, f.eks. ved jeg det er gældende hos Oister (og dermed måske også for 3 mobil), for på et tidspunkt ville jeg netop have udeladt nummer, så det ikke kom i telefonbogen, men gerne blev vist ved opkald. Det kunne mit forrige selskab....

  • 0
  • 0
Mogens Ritsholm

For et udeladt nummer er du slet ikke i tilgængelige 118-data. Men et udeladt nummer er altså også hemmeligt.

Det var vist forkert. Normalt (gammel TDC praksis fra fastnet) er udeladt nummer en særskilt facilitet, så man både skal bestille udeladt nummer og hemmeligt nummer, hvis man vil have begge dele (eller stille undertrykkelse af indentitet til kaldte i mobiltelefonen).

Men en lille rundsøgning viser, at nævnte begreber og andre termer bruges noget forskelligt hos udbyderne.

Her var måske en opgave for TI.

  • 0
  • 0
Leif Neland

På http://lessonslearned.org/sniff kan man teste om man er "ramt" for så bliver ens telefonnummer vist på siden.


Jeg kører via en 4G router til Telia, og der viser ovennævnte side ikke noget Broadcast UID, kun useragent og ip.

Til gengæld siger https://panopticlick.eff.org
"Your browser fingerprint appears to be unique among the 4,665,043 tested so far."

  • 0
  • 0
Tobias Skytte

Jeg har (heldigvis) ikke et teleselskab som er omfattet, men jeg tænker på at man måske kan komme uden om det hvis man bruger en VPN forbindelse.

Jo det forhindres hvis man har en VPN forbindelse.

(Full disclosure: Jeg ejer/udvikler citizenvpn )

Med en VPN bliver dine data krypteret hele vejen fra din telefon/computer og hen til VPN udbyderens server, hvor det bliver dekrypteret og sendt ud i verden. Dvs. teleselskabet/internet-udbyderen kan på ingen måde ændre i data-strømmen og injicere den omtalte header.

Dog er det vigtigt at indse at VPN udbyderen faktisk har den mulighed (at injicere/ændre i data-strømmen). Det er derfor vigtigt at du vælger en udbyder du kan stole på, der findes mange VPN udbydere som ikke siger hvem de er eller hvilket land de operer fra osv. og der findes også nogle der får støtte af CIA...

  • 1
  • 0
Log ind eller Opret konto for at kommentere