Paranoia Hack Martes, 6 enero 2015

Anonymous denuncia: Bitel puede rastrear tu conexión. Aprende aquí cómo evitarlo.

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.

Hace unos días llegó a Paranoia Hack la alerta de que la operadora vietnamita que radica en Perú, es decir, Bitel, aparentemente estaba monitoreando las páginas que visitan sus clientes. Peor aún, dan el número celular de los usuarios a los administradores de las páginas visitadas. La denuncia hizo que investiguemos, y tras los pasos de este caso, esto fue lo que sucedió.

Bitel-APN0

Aunque el tema es algo técnico, es muy importante para la privacidad. La información que nos llegó fue publicada por AnonymousPerú. Ellos explicaron su investigación, y para resumirlo, podría decir que a los clientes de Bitel los monitorean -imagino- sin saberlo. Lo que es peor, no saben con qué fin lo realizan. Vamos a nuestra explicación. Cuando un celular se conecta a Internet usa un perfil APN (Nombres de Puntos de acceso), la opción suele estar en AJUSTES (o CONFIGURACIÓN) > REDES > REDES MOVILES > APN, en realidad depende del modelo del celular, pero traten de encontrar la opción. Es necesario que conozcan la configuración de su equipo, y si tienen dudas, San Google se los dirá.

 

¿Y cómo lo harían?

Para la tecnología es muy sencillo. Los celulares de Bitel vienen con tres perfiles de APN: – Bitel Internet – Bitel WAP – Bitel MMS Bitel-APN El percance se presenta en el APN: Bitel WAP -el que normalmente está activo por defecto en los teléfonos- ésta es la opción (ó perfil APN) por donde se monitorean los contenidos que visitan los clientes de Bitel. Como yapa le regalan el número telefónico del usuario a los administradores de las páginas que el cliente visitó. Tal como lo lees, tu número queda guardado en un archivo dentro del servidor web (de un extraño) para que pueda usarlo para el fin que desee. Cada vez que un ‘Bitelino’ visita una página, Bitel envía su número telefónico por medio del código “x-up-calling-line-id”, con esta etiqueta mandará tu número a extraños. Incluido el monitoreo de cada página que visita para posiblemente obtener una métrica por dispositivo. Cabe señalar que AnonymousPerú indica que el perfil APN: Bitel WAP, va hacia un proxy que puede almacenar información adicional, datos que también se desconocen.

¿Qué datos se llevarían?

Normalmente existen códigos estandar que se extraen cuando se navega por un dipositivo. Sin embargo, hay datos que se vuelven peligrosos. Para darte un ejemplo, mencionamos los datos que normalmente pueden extraerse, agregando a la información, tu número celular. Es decir, sabrán: – TÚ NÚMERO CELULAR – Modelo y fabricante del celular – Sistema Operativo (Android, iOS, Windows, Linux, Mac) – Dirección IP – Nombre y versión del navegador (Chrome, Firefox, Opera, Safari, Internet Explorer) – Paginas visitadas. – Cuando ingresas a una web, le dirá a esta desde dónde accediste. –  Resolución de pantalla – Pais de origen – Idioma del usuario – Empresa operadora. Toda esta información sirve para que empresas y gobiernos sepan qué hacen sus usuarios, creen perfiles de consumo que se ven reflejados en publicidad en SMS, teleoperadoras llamando para ofrecer servicios, spam en correo, etc. Sin embargo, sumemos algo de perversidad al tema. Imaginen que creo una página web para capturar números celulares -incluido los demás datos- para hacer una base de datos de usuarias peruanas que gustan visitar páginas de moda desde iPhones, así obtener su teléfono para agregarlas al Whatsapp, luego ver sus nombres, buscarlas por Facebook, Twitter, obtener una ubicación y todo lo que tu imaginación pueda alucinar.

Pruebas sobre la mesa

VIDEO DEMOSTRACIÓN


Bitel Peru Tracking Test 06/01/2015 por iGeekx

Cortesía del usuario 제이슨 팔 마, quien muy amablemente realizó el video de análisis.
Al inicio, el usuario accede a ‘AJUSTES’ del equipo para mostrar la configuración de su smarphone Bitel en el perfil APN: “Bitel-Internet” que no monitorea. Es decir, todo está aparentemente normal. Hasta que en el minuto 2:40 se observa como al escoger el perfil APN: Bitel WAP, se produce el rastreo. Además se observa que el video se realizó bajo la operadora Bitel de Perú.

 

AnonymousPerú también presentó un análisis dónde estos códigos inmersos en algo llamado «Headers HTTP», esta sentencia envía tu número celular (con la demás información) por medio del código “x-up-calling-line-id”.   Bitel-APN1 bitel2

bitel1_

Bitel-APN4

Como leen, dice que PERÚ S.A.C. está rastreándolos, al buscar a quien le corresponde, es a la ISP: Bitel

  Intentamos comunicarnos con Bitel y hasta ahora no han respondido.

Recomendación:

Esto ya pasó en Reino Unido con O2. Ellos tuvieron que pedir disculpas, corregir la configuración y prometer que no volverá a suceder. La única solución está en que Bitel cambie la configuración general.  Si eres usuario de Bitel tendrías que usar el perfil APN: “Bitel-Internet” para que el monitereo no se produzca. Sin embargo, también puedes hacer pruebas a tu equipo y dispositivo desde las siguientes herramientas:

detekt

ISPBITEL es un script modificado por nuestro amiguix Dedalo para que puedan comprobar si sus equipos Bitel están siendo monitoreados desde «Bitel-WAP».

DETEKT es una nueva herramienta gratuita y de código abierto creada por el investigador de seguridad con sede en Berlín Claudio Guarnieri e impulsada por Amnistía Internacional, la EFF y otras organizaciones de derechos.

AMIBEINGTRACKED muestra los códigos del «Headers HTTP» que tu envías a un sitio web, la herramienta fue creada luego del caso de O2 en el reino unido.

LEW.IO/HEADERS.PHP Te dice las cabeceras que estás enviando a la página que ingresas, similar a AmibeingTracked.

 

 

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Disclaimer: El autor no se responsabiliza de las opiniones vertidas en los comentarios. Este artículo no pretende ser un manual, ni vulneró la seguridad de ninguna página, servidor, sistema o persona, los usuarios asumirán su responsabilidad frente a cualquier daño o perjuicio que cometan.

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.
Secured By miniOrange