Операторы могут получать GPS-координаты телефонов без уведомлений
3 мин
30
ИБ-исследователь и разработчик Садхир Сингх представил технический отчёт о скрытых возможностях отслеживания в мобильных сетях. Оказалось, что операторы могут получать точные GPS-координаты любого телефона без уведомления пользователя. Это происходит через встроенные с начала 2000-х годов протоколы RRLP для сетей 2G/3G и LPP для сетей 4G/5G.
Технология работает на уровне baseband-процессора — отдельного чипа, который управляет сотовым модемом. Оператор отправляет команду по служебному каналу control plane, baseband включает GPS-чипсет, вычисляет координаты и отправляет их обратно. Основная операционная система iOS или Android не участвует в этом процессе и не фиксирует происходящее.
В каждом смартфоне два процессора. Первый запускает операционную систему и контролирует разрешения на геолокацию. Второй — baseband — работает с базовыми станциями по собственной прошивке от Qualcomm, MediaTek или Samsung. Когда приходит запрос местоположения от оператора, он обрабатывается baseband, минуя настройки приватности.
Протокол RRLP работает в двух режимах. В первом телефон снимает данные со спутников и отправляет в сеть. Во втором телефон сам считает координаты и возвращает готовый результат. Протокол LPP для 4G/5G делает то же самое, но поддерживает больше методов. В сетях 5G точность может быть менее метра.
Критический момент: протокол не требует аутентификации, а смартфон не проверяет легитимность запроса. Исследователь Харальд Вельте ещё в 2009 году показал, что смартфоны передают GPS-координаты любому, кто умеет отправлять RRLP-запросы через поддельную базовую станцию.
Изначально технологию создавали для системы E911 — требования определять местоположение при звонках в экстренные службы. Но использование оказалось шире. В 2006 году Управление по борьбе с наркотиками США уже отслеживало подозреваемых через GPS по запросам к операторам. Во время пандемии COVID-19 израильская Шин Бет использовала эту инфраструктуру для отслеживания заражённых. В 2019 году выяснилось, что операторы T-Mobile, AT&T и Sprint продавали данные о местоположении сторонним агрегаторам.
Отключить отслеживание на программном уровне нельзя. Разрешения геолокации в настройках контролируют только доступ приложений к GPS, но не затрагивают baseband. VPN и файрволы работают на уровне IP-протокола, а сигнализация control plane минует этот стек.
Apple начала решать проблему, выпустив iPhone 16e, который получил собственный модем C1. В бета-версии iOS 26 появилась функция Location Privacy. Теперь операционная система видит входящие запросы местоположения и может показать пользователю запрос на согласие или ответить менее точными данными.
Это первый случай, когда основной процессор получил контроль над ответами baseband оператору. Но функция работает только на iPhone 16e. Все остальные iPhone используют модемы Qualcomm без такого контроля. На устройствах Android эквивалента нет.
Исследователи отмечают, что для пользователей с повышенными требованиями единственной надёжной защитой остаётся физическая. Это сумки Фарадея, извлечённая SIM-карта или устройства только с Wi-Fi. Любой телефон с активной SIM-картой может быть отслежен оператором независимо от программных настроек.
