電話プロバイダーはどのようにしてMSISDNを広告Webサイトに漏らしましたか?
火曜日に非常に奇妙なことが起こったので、私は決定的にその方法を見つけることができませんでした。
組み込みのブラウザーを使用していたiPhoneのLastPassアプリに戻りました。 「Vault」から直接ログインするサイトでのみ使用するので、とてもきれいです。
最初の謎:ブラウザーを再び開くと、「PlayOGame」というタイトルのページが、一部のゲームを宣伝するフォアグラウンドタブに読み込まれていました。
携帯電話番号をプレミアムレートサブスクリプションに登録したWebページ
ページをロードした直後(believeこのページをクリックしませんでした)にSMS「 PLAYOGAMEへ...」.
EEはそれがどのように機能するか私に言うことができませんでした
私はプロバイダー(英国のEE)に電話をかけました。リンクをクリックすると、このサービスに加入していると言われました。
私は会社が私の番号をどのように取得したか(例:EEがどのようにそれを与えたか)を尋ねました-そして彼は自信を持って「インターネットの仕組みです-Webサイトはあなたのデータ信号を通じてあなたの番号を得ることができます」...(笑)...どうやって理解したのか….
広告会社はそれがどのように機能するか私に言うことができませんでした
Paygur から同様に混乱した回答を得ました。これは、私が「購読」した会社です(PlayOGameについて聞いたことがないようですが、wereできる)退会する)。 「インターネット上のリンクの98%は有料です」と彼女は私に言った。正しい。
支払いメカニズムは「キャリア決済」と呼ばれ、「ウェブサイトを1回クリックするだけで支払いを承認できます」と理解できました。
プレミアムレート番号REGULATORは、それがどのように機能するかを教えてくれませんでした
最後に私は Phone-paid Services Authority -英国の規制当局-に苦情を辛抱強く記録しましたが、何について話しているのかわかりませんでした。
EEは「ヘッダーの強化」を行っていますか?
私の最初の考えは、これは O2がすべてのHTTPリクエストに「誤って」ユーザーのMSISDNを追加していた のようなものだったということです。
その後、これが「ヘッダーエンリッチメント」と呼ばれることを知りました(おそらくこれは偶然ではなかったことを意味します)。 「ワンクリック支払いフロー」や「msisdn認識」と並んで、これについて話している怪しげなフォーラムがあります。
requestbin で送信HTTPヘッダーを検査しましたが、異常なヘッダーは見つかりませんでした。私はhttpbin.org/cookiesを使用してcookieで同じことを試しましたが、そこにも奇妙なことは何もありません。
私はこれについていくつかの論文を見つけました:
- 携帯電話のインターネットアクセスにおけるプライバシー漏洩
- Header EnrichmentまたはISP Enrichment?Emerging Privacy Threats in Mobile Networks
両方の論文で、彼らは独自のウェブサーバーでこれらのヘッダーを検出することができましたが、私はそうではありません...なぜですか?
この動作を検出しにくくするために、EEはselectivelyヘッダーを広告主にのみ送信しているのでしょうか?私が考えていない別の方法はありますか?
これがどのように機能するかについて誰か洞察がありますか?
アイデンティティとアドレス可能性に関する共通の基準がないため、モバイルスペースで適切な広告を適切な人物に配信することは困難です。私たちはそれを解決する立場にあると考えています。 2つ目の要素はモバイルの測定です。適切な属性データの取得には多くの問題があります。
C.ヒリアー氏、Verizonのプレシジョンマーケットインサイト部門の副社長
編集:更新:PlayOGameのWebサイト
LastPassの歴史の中でPlayOGameのWebサイト(注意してください! http://playogame.center )を見つけました(そうです)。
彼らはアゼルバイジャンのAKMobileと呼ばれる会社です:
Organization: AKMobile LLC
Street: Khojali Avenue, Baku, Azerbaijan
City: Baku
State/Province: Baku
Postal Code: AZ1025
Country: AZ
彼らの背後に誰がいるかは明らかではありませんが、これは プライバシーポリシー にあります:
ログデータ
多くのサイトオペレーターと同様に、ユーザーが当社のサイトにアクセスするたびにブラウザーから送信される情報(「ログデータ」)を収集します。
このログデータには、携帯電話番号(MSISDN)、ブラウザーの種類、ブラウザーのバージョン、アクセスしたサイトのページ、アクセスの日時、それらのページで費やした時間、その他の統計情報が含まれる場合があります。
実際に非常に一般的で、通信事業者の技術的な協力が必要な詐欺に遭遇したことがあります。 イタリア (出典:Antitrust Authority)、特に Three ユーザーに発生したことを知っています。
プレミアムSMSサービスを使用すると、外部コンテンツプロバイダーはモバイル加入者にSMSコンテンツをスーパーチャージャーで提供でき、プロバイダーとキャリア間で(ネットワークおよび支払い処理の費用として)料金が分割されます。ユーザーは、プリペイドまたはサブスクライブされた自分の番号から引き落とされます。
それは本質的にキャリアプロバイダーとの技術的な取り決めによって機能しますが、そのためのドキュメントは見つかりませんでした。プレミアムサービスプロバイダーが通信事業者に提供する技術APIを見るには、これが大きなNDAの障壁であると80%確信しています。
ネットワークに接続しているときに、セルフケアポータルへの非ログインアクセスを提供する多くの携帯通信会社をすでに目にしました。 自宅でWifiを使用していない。ほとんどすべてが私の国で利用できます。彼らはあなたをIPアドレスで認証します、それはあなたを繋いでいる誰もが残りの信用またはデータの閾値を見ることを意味します。したがって、それは珍しいことではありません。
EEと他のキャリアが気づかないうちに行うことがあるのは、選択的透過プロキシーです。これは、2番目の論文が私たちの範囲に対して「時代遅れ」である理由を説明しています。
通信事業者は、パートナーのサーバーのみをターゲットとするHTTPリクエストにトラッキングヘッダーを追加する場合があります。しかし、私にはそれを証明するものはありません。彼らが技術的にすべてのデバイスに一意のIPv4アドレスを割り当てることができるとは思えません。
プレミアムSMSサービスは、実際にはアゼルバイジャンの会社(責任連鎖についての真実のほとんどを伝え、アゼルバイジャン生まれで生きている正直な人々に最も敬意を表している)ではなく、キャリアとのパートナーシップ契約。検討 この会社 検索中にプレミアムSMSサービスを販売していることがわかりました。
また、私の知識のキャリアには、プレミアムSMSの受信料のみが請求されることも考慮してください。これは、キャリアがsubscriptionについての知識(または「データベース内の行」)を持たないことを意味します。週5ポンドで購読している場合は、毎週5ポンドのテキストで「購読が更新されました」と表示されます。要約すると、毎週の請求はそのSMSに関連付けられており、ネットワークがそのSMSを配信しない(または実際に遅延する)場合は、それを受け取るまで無料です。
全員が加入者にプレミアムSMSを送信してお金を受け取ることができるわけではないことに注意することが重要です。キャリアは、すべての消費者規制の下でキャリアが責任を負う大規模なSMS爆撃を回避するために、信頼できる企業とのみ契約(および論理チャネルを開く)を行います。これらのSMSプロバイダーが他の企業をプレミアムSMSの顧客にすることを許可し(正しい表現はsuppliers)、その能力を慎重にチェックしない場合、メカニズムが機能しなくなります明示的なユーザー確認なしでサブスクリプションを開始します。
警察の捜査がゆっくりと進行している、特にこの事件では遅いイタリアでの私の経験から、世論の結論は次のとおりです:1)保険会社として保険料SMSに多くのお金がかかわっている多くの料金がかかる、2)影響が複数の個人に分割されるため、1人の顧客への損害は軽微である、3)多くの加入者はプレミアムの犠牲者であることをほとんど認識していないSMS詐欺、私が個人的に知っている、週に5ユーロを支払った人なしを含む人。 N. O. T. H. I. N. G.がその人の電話に実際に配達された。 (注1を参照)
EE、O2またはその他のプロバイダーからアゼルバイジャン企業までの実際のサプライチェーンは、好きなだけ長くすることができます。 Matrioskaスタイルのチェーンは珍しくありません。
結論
あなたはきっと、キャリアとパートナーネットワークの間の信頼を利用して、技術的なAPIがSMSの確認なしにサブスクリプションを確立できるようにする、継続的な詐欺の犠牲者でした。すべてのキャリアに適用できるわけではありません。リンク先の記事で説明されているように、3つのイタリアで簡単に発生しました。
多くの場合、広告システムは、[同意する]ボタンをクリックするとサブスクリプションが開始するように設計されていますが、そのクリックは一般的なクリックジャッキング手法で盗まれます。
あなたの電話番号は必ずしも広告プロバイダーに漏らされたのではなく、コンテンツプロバイダーに漏らされました。広告プロバイダーはあなたのISPを知っています。
サブスクリプションに同意しなかったと主張してプロバイダーに返金を要求することができます。あなたの規制の下で、あなたが「同意する」をクリックしたあなたのキャリアの反対は、証明するための彼らの負担かもしれません。
私の記録によれば、EU規制のキャリアは、将来のサブスクリプションを明示的にオプトアウトすることにより、顧客があらゆる種類のプレミアムサービスをブロックできるようにする必要があります。これには長所と短所があります。 (例:SMSでバスのチケットを購入しない)
この特定のコンテンツプロバイダーが他の人々を詐欺していることを示唆するすべての情報を引用して、地元の警察署でJohn Doeを訴えることができます。あなたはほんの少しのお金しか盗まれていないことを覚えておいてください、そしてあなたの地元の検察官はこれを考慮しなければなりません。
イタリアの反トラスト法からのリンクされた記事を電話サービス機関での苦情に追加すると役立つ場合があるため、他のEU諸国で同様の事件が発生したことが通知されます。
消費者団体の助けを借りてみことばを広めること(私はアメリカのACLUに相当するものについて考えています)が調査の開始に役立つ場合があります。
注1:
何も配信されないのはなぜですか?私はこの人の3gモデムが受信したすべてのSMSを追跡しましたが、プレミアムサービスへのサブスクリプションの痕跡を見つけたとき、毎週利用できる「コンテンツ」を取得する方法を見つけられませんでした。毎週SMS「今週の新しいコンテンツ」。 「コンテンツ」とは何ですか?どうすればわかりますか?
残念ながら、利用可能な情報でこの質問に決定的に答える方法はありません。
テストケースが無効です。
RequestBin Webサイトに送信されたヘッダーを見たようです。 O2でも、ヘッダーを選択的に挿入できることを認めました。 RequestBinがPlayOGameが行ったのと同じヘッダーを受け取っているとは限りません。
HTTPヘッダーが関係していないことを確認するには、PlayOGameのネットワークインターフェイスでトラフィックをキャプチャする必要があります。 HTTPSでeverythingを実行しない限り、キャリアのプロキシがヘッダーを変更する可能性があります。
テクニカルサポートとカスタマーサービスは知りません。
ずっと前に、テクニカルサポートセンターで働いていました。私の直接のサポート範囲外のインフラストラクチャに関する技術的な詳細を入手することは、ほとんどの場合事実上不可能でした。
コールセンターの監督者は、正確な情報を提供するよりも顧客とのやり取りを迅速に完了することにはるかに関心があるため、このような知識の追求を阻止することがよくあります。
データが不十分です。
デバイスとplayogame.centerの間のログは、転送されたデータを完全に識別するために必要です。ヘッダーにまったく表示されない、デバイスからデータを収集するスクリプトを実行した可能性があります。私が知る限り、これにはエクスプロイトが必要になる可能性があります。iOSもAndroidもデフォルトでは、IMSIまたはMSISDNを公開していません。
追加のテスト
デバイスが電話番号を開示しなかったことを証明する唯一の方法は、交換全体を最初から最後まで監視することです。これは暗号化によって複雑になる場合があります。
セッションを記録する監視ツールを使用してサイトに再度アクセスできます。 これは危険であり、何をしているのかを正確に理解していない限り推奨されないことに注意してください。Android用のパケットキャプチャアプリがあり、これを使用しましたある程度の成功はありますが、iOSで同等のものになるかどうかはわかりません。
システムが送信しているすべてのビットを確実に確認するには、外部ハードウェアソリューション(例: Nemo )が必要ですが、このような場合にはやりすぎかもしれません。
他の通信チャネルを評価することはできません。
このような場合、ネットワークプロバイダーは関係者全員を知っている1つの当事者です。 IP、MACアドレス、IMSI/MSISDN、および閲覧したサイトのIDが含まれています。
残念ながら、プロバイダーがこの情報を共有するかどうか、またはいつ共有するかを個別に判断する方法はありません。法務当局はその問題を追求しなければならないだろう。彼らは透明性を強要する能力を持っています、それはここで必要かもしれません。