モバイルオペレーターのDPI：無料のインターネットから番号と場所の開示まで

ディープトラフィック分析システム（ディープパケットインスペクション、DPI）-通過するインターネットトラフィックをデータタイプ（Webページ、ドキュメント、オーディオ、ビデオ）、プロトコル（HTTP、BitTorrent、VoIP / SIP）および特定のプログラムで分類するためのソフトウェアおよびハードウェアシステム（Skype、WhatsApp）、多くの場合、追加機能を備えています。 DPIシステムは、有線および無線アクセスプロバイダーによって世界中に分散して使用されています。



モバイルオペレーターはまず、ディープトラフィック分析システムを使用してインターネット上のさまざまなコンテンツ（QoS）に優先順位を付けるため、大きなファイルを同時にダウンロードしてYouTubeでビデオを見ることができます。 。 オペレータは、UMTS（3G）の出現により、2000年代初頭からDPIを使用して、帯域幅が制限されたワイヤレスチャネルを多かれ少なかれ正直に共有してきました。



モバイルオペレーターは、TCPおよびHTTPアクセラレーション（TCP PEP、パフォーマンス向上プロキシ）などの他のDPI機能も使用して、モバイルネットワークでインターネットを高速化し、Webサイトでユーザーを識別します。 電話からオペレーターの個人アカウントを入力しようとすると、多くのオペレーターですぐに開き、ログインとパスワードを入力する必要はありません。 または、約5年前に会うことができたもの、不審なWebサイトへの単純な訪問、またはAndroidゲームからの広告バナーのクリックは、SMSメッセージからわかる有料サービスの自動サブスクリプションに変わりました。

仕組み

ディープトラフィック分析システムは、オペレーターが定義したリストからサイト（ホスト）へのHTTP要求を実行するときにHTTPサービスヘッダーを追加するように構成されています。 ヘッダーには、加入者の内部IPアドレス、電話番号（MSISDN）、IMEIおよびIMSI識別子、および加入者が接続されている基地局（タワー）の識別子（ECI / TAC）が含まれる場合があります。



インターネット上のサーバーに簡単なHTTPサーバーをインストールして、要求を受け入れ、画面に表示し、HTTP応答を送信する必要があります。 このようなもの：

#!/usr/bin/env python3 import socketserver class MyTCPHandler(socketserver.BaseRequestHandler): def handle(self): while True: r = self.request.recv(8192) if b"\r\n\r\n" in r or b"\n\n" in r: break if not r: return print("-----\r\n" + r.decode() + "-----") self.request.sendall(b"HTTP/1.1 200 OK\r\nContent-Length: 2\r\n\r\n") self.request.sendall(b"OK") return if __name__ == "__main__": HOST, PORT = "0.0.0.0", 80 socketserver.ForkingTCPServer.allow_reuse_address = True server = socketserver.ForkingTCPServer((HOST, PORT), MyTCPHandler) server.allow_reuse_address = True server.serve_forever()
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Megaphone SIMカードを使用してHTTPリクエストを送信します。

 $ curl myserver.com OK
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

サーバーが来ました：

 GET / HTTP/1.1 Host: myserver.com User-Agent: curl/7.51.0 Accept: */*
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

異常なことは何もありません。 ホストヘッダーを、たとえばメインサイトmegafon.ruなど、オペレーターの内部ドメインに変更します。

 $ curl myserver.com -H "Host: megafon.ru"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

サーバー上：

 GET / HTTP/1.1 Host: megafon.ru User-Agent: curl/7.51.0 Accept: */* X-Real-IP: 100.114.20.123 X-NOKIA-MSISDN: 79319350195
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

サーバーは、curlによって送信されたHTTPヘッダーだけでなく、内部IPアドレス（キャリアグレードNAT用）および電話番号を含む追加のX-Real-IPおよびX-NOKIA-MSISDNヘッダーも受信しました！



なぜこれが起こったのですか？ どうやら、リストをコンパイルするときに、特定のドメインを特定のIPアドレスまたは範囲にバインドするのを忘れており、リストからのサイトのオープンのチェックは、 ホスト HTTPヘッダーの比較によってのみ実行されます。



多くの場合、内部サイトへのアクセスはオペレーターによって課金されないため、HTTPリクエストのHostヘッダーを置き換えるだけで無料のインターネットを利用できます。

特別なホスト

メガホン

メガホンには、DPIがさまざまなヘッダーを追加する多くの内部ホストがあります。

• welcome.megafonnw.ruは、SIMカード識別子（IMSI）を持つX-MegaFon-IMSIヘッダーを追加します
• wap.megafon.ruは、 X-Megafon-IMEISVに電話識別子（IMEI）を追加します
• id.megafon.ruは、 X-Megafon-TACおよびX-Megafon-ECIヘッダーで電話が現在接続されているタワー番号を開示します
• 特定の地域（たとえば、 szfwp.megafon.ru ）のサイトは、ヘッダーX-3GPP-USER-LOCATION-INFOを追加します

また、zg.megafon.ru、m.megafon.ru、igapi.megafon.ruのサービスヘッダーが追加されています。

Tele2

サービスヘッダーX-MSISDNおよびX-FORWARDED-FORが追加されたリクエストには、特別なホストがありました。

• login.tele2.ru
• market.tele2.ru
• oplata.tele2.ru
• play.tele2.ru
• wap.tele2.ru
• block.tele2.ru

X-MSISDNヘッダーには、Tele2クライアントの電話番号が含まれていました。 X-FORWARDED-FORヘッダーには、クライアントの内部IPアドレスが含まれています。



Tele2はEricsson DPIを使用します。 12月上旬に再構成され、この問題は修正されました。



リクエストの例：

ビーライン

ヘッダーHost: balance.beeline.ru



サービスヘッダーX-Nokia-msisdnおよびIMEIを持つ任意のIPアドレスへのHTTPリクエストのDPI Beelineが追加されます。

 … X-Nokia-msisdn: 79650939376 IMEI: 49727069-021839-00
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

リクエストの例：





ホストbeeline.ru、 www.beeline.ru 、spb.beeline.ruはDPIによって処理されず、 ホストヘッダーではなくIPアドレスに基づいてそれらへの接続が許可されます。

MTS

MTS DPIは、次のホストにサービスヘッダーを追加します。

* 111.mts.ru ：

X-MSISDN-1hIjUVLgCcdQ: 79118141234

SGSN-MCC-MNC: 25001







* books.mts.ru ：

X-MSISDN: 79118141234







* pda.mts.ru ：

X-AQIC5wM2LY4SfcyEwLC5hS0e02r4: 79118141234

SGSN-MCC-MNC: 25001

X-SGSN-IP: 193.27.231.49







* h2o.mts.ru、interceptor.mts.ru、internet.mts.ru ：

X-MSISDN-B0kOoE2clldi: 79118141234

パッケージ処理機能

Tele2プロキシサーバーは、ユーザーのHTTP / 1.0リクエストがない場合、次のヘッダーを追加します。

 Accept-Encoding: gzip, deflate Accept: */*
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

要求がHTTP / 1.1を介して行われた場合、サーバー応答の次のヘッダー：

 Transfer-Encoding: chunked
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

応答は、プロキシ側でチャンクエンコードされます。



プロキシは、正しい応答を受信するまで一部の要求をバッファリングするかスキップせず、大きなパケットをいくつかの小さなパケットに分割できます。 GET要求への応答は、サーバが応答本体を進め始めた後にだけ来るでしょう。 サーバーが本文なしでヘッダーのみを送信した場合、回答はクライアントに届きません。

この機能はPOST要求には適用されません。



クライアントがGETリクエストのHTTPヘッダーとデータを1つのパケットで送信した場合、それらはプロキシサーバーによって2つのパケットに分割されます。





この機能はPOST要求には適用されません。



DPI Tele2は、ほとんどの場合、接続の状態を保存せず（ステートレス）、クライアントが送信する新しいTCPセグメントごとにHTTP要求を検索しようとします。 さらに、要求はセグメントの最初のバイトで始まる必要はありませんが、改行で区切ることができます。 たとえば、次のクエリはDPIに関して真です。

 \r\n \r\n \r\n \r\n GET / HTTP/1.0\r\n Host: ya.ru\r\n \r\n
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この機能は、Tele2がDPIを再構成し、サービスホストをIPアドレス範囲に制限するまで、ブラウザーを介して悪用される可能性があります。 タイプmultipart/form-data



（ファイルの送信）のそのようなPOSTリクエストを作成することができ、その本文には新しいHTTPリクエストのヘッダーがあり、DPIはKeep-Aliveセッション内で新しいリクエストを取得し、サービスヘッダーを追加し、ブラウザーを介して送信します。



リクエストの例：





リモートサーバーがユーザー番号を受信しました。 どうやら、これはエリクソンソフトウェアの重大な欠陥であり、Tele2だけが固有のものではありません。



Beeline DPIはヘッダーを分析し、HTTPストリームの状態を保存し、HTTPに一般的ではない送信手順が開始される場合、たとえば、クライアントがGETリクエストの本文で大きなデータストリームの送信を開始する場合（double \ r \ n POST要求であるかのように）、またはサーバーがContent-Lengthヘッダーで指定されたよりも多くのデータを送信した場合。 HTTP応答が必要です。それ以外の場合、DPIは接続を許可しません。



MTSは、ヘッダーでビッグデータを送信することはできません（明らかに、ヘッダーの長さとその値を確認します）。



MTSの場合、キープアライブセッション内で新しいHTTP要求を追跡するには、 Content-Lengthを指定せずにContent-Type：application / octetヘッダーを使用して、HTTP応答ヘッダーとHTTP応答本文を別々のパケットでサーバーから送信する必要があります-stream ：最初のTCPパケットでは、\ r \ n \ r \ nを含むすべてのヘッダーが送信され、データ自体は2番目以降のパケットに送信されます。





さらに、HTTP要求ヘッダーの処理がMTSのDPIに誤って実装されており、電話番号の開示がブラウザーから悪用される可能性があります。 リクエストでは、Javascriptを使用してヘッダーX-Host：pda.mts.ruを追加し、リクエストを正確に「カット」して、一方のパッケージに「 X- 」があり、もう一方が「 Host： 」で始まるようにする必要があります。 これは、サーバー側でTCPウィンドウサイズを操作することで実行できます。

インターネットブロックバイパス

マイナスの残高とインターネットオプションが接続されている場合、含まれるトラフィックパケットが使い果たされるとアクセスをブロックすることを意味するため、オペレーターはすべてのHTTPリクエストを自分のスタブページにリダイレクトします。これは通常、オペレーターのメインドメインのサブドメインにあります MTS、Beeline、およびMegafonでは、 ホスト HTTPヘッダーを比較することでサイトにアクセスできるかどうかがチェックされ、IPアドレスはチェックされません。 DPIを再構成する前に、Tele2でも同じことが起こりました。



ホストドメインヘッダーがサービスドメインを指しているIPアドレスおよびポート80へのHTTP要求は、パケットからのトラフィックを消費せず、負のバランスでも機能します。

経験的に、双方向の交換を確立してロックをバイパスするには、大きなContent-Length値でPOST要求を送信し、サーバー応答にContent-Lengthを含めるだけで十分であることがわかりました。

  : >>> POST / HTTP/1.0\r\n Host: %s\r\n User-Agent: Firefox/50.0\r\n Connection: keep-alive\r\n Content-Type: multipart/form-data; boundary=fbfbfb\r\n Content-Length: 999999999999\r\n \r\n   : >>> HTTP/1.0 200 OK\r\n Content-Length: 999999999999\r\n \r\n
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

その後、任意の（非HTTP）データを両方向に転送できます。



ShadowSocks 2.5.6プロキシサーバーにパッチを作成し、接続が確立されたときにこれらのHTTPヘッダーを追加しました。

1. パッチの適用、コンパイル
2. サーバー上でファイル/etc/shadowsocks.conf
   
   
   
   を作成します（以下を参照）
3. ss-server
   
   
   
   でss-server
   
   
   
   を実行します： ss-server -c /etc/shadowsocks.conf
   
   
   
   
4. 3G / LTE接続のあるデバイスでss-local
   
   
   
   を実行します。
   
   ss-local -s SERVERIP -p 80 -l 1081 -m table -k verysecretpassword -H DOMAIN





DOMAIN
   
   
   
   はどこDOMAIN
   
   
   
   ：
   
   unblock.mts.ruまたはMTSのBonus.mts.ru
   
   corp.megafon.ru for Megaphone
   
   Beelineのbalance.beeline.ru
5. Socks5プロキシー127.0.0.1:1081
   
   
   
   ブラウザーおよびその他のプログラムを構成します
   
   または、iptables経由でss-redirを使用します

/etc/shadowsocks.conf

 { "server":"0.0.0.0", "server_port":80, "password":"verysecretpassword", "method":"table", }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

アラートプロバイダー

2016年12月上旬、私は4人のオペレーター全員の技術サポートに連絡して問題を報告しようとしました。 無料のインターネットの詳細を無料で開示したくなかったため、報告された脆弱性に対する報酬を期待していました。 正直に言うと、私が金銭を要求する単純なものではないことを確認するために、DPIに関連しないWebの脆弱性を発見しました：Beeline-ユーザー名とパスワードを入力せずに、攻撃者のサイトから個人アカウントにアクセスし、 MTS-攻撃者のサイトからの電話番号、残高、および関税の開示。



MTSおよびBeelineは匿名ユーザーとの連携を拒否したため、ちょうど1年前、2016年12月29日に、MTSおよびBeelineセキュリティサービスの代表者との個人的な会議が開催され、そこでWeb脆弱性のすべての詳細が提供されました。 DPIの脆弱性が適切な場合、その脆弱性を検索する契約を締結することが提案されました。



2017年に、MTSとBeelineに繰り返し連絡して、Webの脆弱性を閉じる際の状況を明らかにしましたが、回答はありませんでした。 メール配信に関する技術的な問題や、Twitterでの個人的なメッセージを除外するために、さまざまなメールアドレスから書きました。



Beelineは10月末にのみ脆弱性を「カバー」しました-Webブラウザを介して悪用されないように作成されましたが、電話にインストールされたプログラムは引き続き個人アカウントにアクセスし、電話番号を見つけ、料金を変更し、オプションを接続します。



MTSはまだ脆弱性を閉じていません。 どのサイトでも電話番号を確認できます。



メガホンは最初の2つのメッセージに応答しましたが、後でそれらから応答を受信しませんでした。



私を喜ばせたのは、Tele2の代表者だけでした。 彼らは迅速かつ明確に答え、金銭的な報酬を提供しました。

おわりに

Megaphone SIMを使用して携帯電話でインターネットにアクセスできるプログラムは、基地局、電話番号、IMEI、IMSIに対して正確な現在地を検出できます。 SIM MTSを使用すると、彼女は電話番号、IMEI、IMSIを取得でき、 Beelineは電話番号のみを公開します。



特別に設計されたリクエストを含む攻撃者のWebサイトでは、 MTSで電話番号を公開できます。



また、DPIに関連しないモバイルオペレーターのWebサービスの脆弱性も忘れないでください。Beelineを使用すると、どのプログラムでも個人アカウントにアクセスし、電話番号、残高、関税、接続オプションを調べ、管理できます。 MTS-電話番号と残高を確認します。



DPIは危険な場合があります。 オペレーターは、脆弱性に連絡して修正することに消極的です。 MTS、Beeline、またはMegaphoneを使用している場合は、苦情を書き、広めます。



探索して実験してください！

ボーナス

モバイルMTSからloudnigra.xyzのサイトにアクセスして、電話を期待してください！ MTSは2017年12月31日のWeb脆弱性を修正しました。 残りの脆弱性は引き続き機能します。



^{無料のインターネットとこれらのヘッダーはすべて、ウクライナのキエフスター、セルビアのテレノール、ラトビアのテレ2で引き続き機能します。}