Miércoles, Abril 26, 2017

Orange revela tu número a las webs que visitas desde el móvil

OrangePor la configuración de su servicio, Orange está mostrando a cualquier web el número de teléfono del usuario que navega por WAP con su teléfono, una práctica que ha detectado el blog Certificate Error.

El blogger, que está elaborando un estudio sobre cómo los diversos operadores de telefonía móvil identifican a los usuarios en la red y las modificaciones que hacen para tal fin en las cabeceras del protocolo HTTP que se encarga de las peticiones web, ha comprobado que la división de Orange en España no está protegiendo bien la identidad de los clientes.

Tal y como comenta "xuf", hay dos métodos principales para la reconocer a los usuarios, basándose en qué tipo de webs se acceden.

Para los sitios internos seguros se hace con el número de teléfono real en una de las cabeceras de HTTP, pero para el resto de la red, se utiliza normalmente un identificador temporal generado que enmascara los datos reales del usuario.

Pues bien, según las pruebas que ha estado realizando, en Orange España se utiliza para toda la red el número de teléfono real del cliente usando una conexión WAP, con lo que cualquier administrador puede acceder fácilmente a este dato. Una consecuencia sería la posibilidad de empezar a recibir SMS o llamadas con publicidad que no nos interesa de una empresa a la que no hemos dado nuestros datos conscientemente.

Content-length: 0
Via: WTP/1.1 nwg2 (Nokia WAP Gateway 4.1/CD21/4.1.116)
X-Network-info: CSD,34xxxxxxxxx,unsecured
X-Nokia-CONNECTION_MODE: TCP
X-Nokia-BEARER: CSD
X-Nokia-GATEWAY_ID: NWG/4.1/Build116
x-nokia.wia.accept.original: text/html,text/vnd.wap.wml,application/vnd.wap.html+xml,application/xhtml+xml,application/vnd.wap.xhtml+xml,text/x-wap.wml,text/x-hdml,text/vnd.sun.j2me.app-descriptor,application/java-archive,application/octet-stream,image/png,image/gif,image/jpg,image/jpeg,*/*,text/x-vCard,text/x-vCalendar,image/vnd.wap.wbmp
Connection: close
x-up-calling-line-id:{REMOVED}

Por lo visto, en la cabecera "x-up-calling-line-id" sí emplea un identificador temporal que cambia cada 24 horas, pero además en el campo "X-Network-info" se revela el número de abonado con el código de país correspondiente.

"xuf", el autor del blog, dice que se puso en contacto con Orange España hace ya más de un mes para advertirles del fallo en la configuración, pero todavía no habría sido corregido.

Fuente: Certificate Error | bandaancha

Comments are now closed for this entry

¿Quién está en línea?

Hay 128 invitados y ningún miembro en línea

Contador de Visitas

11597413
Hoy Hoy 273
Ayer Ayer 509
Esta semana Esta semana 1273
Este mes Este mes 11509
Total de Visitas Total de Visitas 11597413

Día con más
visitantes

07-27-2016 : 1168

Gracias por su visita