Por la configuración de su servicio, Orange está mostrando a cualquier web el número de teléfono del usuario que navega por WAP con su teléfono, una práctica que ha detectado el El blogger, que está elaborando un estudio sobre cómo los diversos operadores de telefonía móvil identifican a los usuarios en la red y las modificaciones que hacen para tal fin en las cabeceras del protocolo HTTP que se encarga de las peticiones web, ha comprobado que la división de Orange en España no está protegiendo bien la identidad de los clientes.
Tal y como comenta "xuf", hay dos métodos principales para la reconocer a los usuarios, basándose en qué tipo de webs se acceden.
Para los sitios internos seguros se hace con el número de teléfono real en una de las cabeceras de HTTP, pero para el resto de la red, se utiliza normalmente un identificador temporal generado que enmascara los datos reales del usuario.
Pues bien, según las pruebas que ha estado realizando, en Orange España se utiliza para toda la red el número de teléfono real del cliente usando una conexión WAP, con lo que cualquier administrador puede acceder fácilmente a este dato. Una consecuencia sería la posibilidad de empezar a recibir SMS o llamadas con publicidad que no nos interesa de una empresa a la que no hemos dado nuestros datos conscientemente.
Content-length: 0
Via: WTP/1.1 nwg2 (Nokia WAP Gateway 4.1/CD21/4.1.116)
X-Network-info: CSD,34xxxxxxxxx,unsecured
X-Nokia-CONNECTION_MODE: TCP
X-Nokia-BEARER: CSD
X-Nokia-GATEWAY_ID: NWG/4.1/Build116
x-nokia.wia.accept.original: text/html,text/vnd.wap.wml,application/vnd.wap.html+xml,application/xhtml+xml,application/vnd.wap.xhtml+xml,text/x-wap.wml,text/x-hdml,text/vnd.sun.j2me.app-descriptor,application/java-archive,application/octet-stream,image/png,image/gif,image/jpg,image/jpeg,*/*,text/x-vCard,text/x-vCalendar,image/vnd.wap.wbmp
Connection: close
x-up-calling-line-id:{REMOVED}
Por lo visto, en la cabecera "x-up-calling-line-id" sí emplea un identificador temporal que cambia cada 24 horas, pero además en el campo "X-Network-info" se revela el número de abonado con el código de país correspondiente.
"xuf", el autor del blog, dice que se puso en contacto con Orange España hace ya más de un mes para advertirles del fallo en la configuración, pero todavía no habría sido corregido.
Fuente: Certificate Error | bandaancha
