Bailey i DePetrillo przygotowali raport (zaprezentowano go oficjalnie na zeszłotygodniowej konferencji SOURCE w Bostonie), w którym szczegółowo opisali jak można nie tylko dość precyzyjnie zlokalizować dowolny telefon korzystający z systemu GSM (odpowiednio wykorzystując najróżniejsze techniki geolokalizacyjne ), ale także jak nielegalnie zdobyć pełne informacje o osobie korzystającej z danego numeru.
Specjaliści znaleźli sposób na nieautoryzowane pobieranie informacji z baz danych operatorów, w których znajdują się zarówno numery telefonów stacjonarnych i komórkowych, jak i dane korzystających z nich abonentów (to tzw. HRL - Home Location Register ).
Problem jest o tyle poważny, że Bailey i DePetrillo nie wykorzystali do tego żadnych dziur czy błędów w systemie GSM - ich działania sprowadzały się do umiejętnego użycia najróżniejszych standardowych funkcji systemu telefonii komórkowej . A to znaczy, że zmodyfikowanie systemu GSM tak, by zdobywanie danych o abonentach nie było możliwe, nie będzie zadaniem łatwym (gdyby były jakieś luki, wystarczyłoby je załatać - ale w tym przypadku konieczne będzie dokonanie pewnych fundamentalnych zmian w zasadach funkcjonowania całego systemu).
Eksperci podkreślają, że możliwość poznania numeru telefonu i dokładnej pozycji jego użytkownika stanowi poważne zagrożenie dla prywatności . Obawiają się jednak, że operatorzy w najbliższym czasie raczej nie zajmą się tym problemem - bo wprowadzenie niezbędnych zmian do systemu będzie skomplikowaną i kosztowną operacją.
Dodajmy, że to nie jest to pierwsza wykryta przez ekspertów ds. bezpieczeństwa słabość systemu GSM - pod koniec ubiegłego roku niemiecki inżynier Karsten Nohl zaprezentował metodę łamania algorytmu wykorzystywanego do szyfrowania komunikacji pomiędzy telefonami komórkowymi a stacjami bazowymi (dzięki temu bez większych problemów można podsłuchiwać rozmowy i przechwytywać dane wysyłane do i z telefonu).
Odkrycia Baileya i DePetrillo szczegółowo opisano w blogu firmy Kaspersky Labs .
Daniel Cieślak
