Nieuws

‘Freaky Leaky’: hoe een SMS je locatie kan prijsgeven

freaky leaky
© iStock / Xijian
Ontvangstbevestigingen van SMS-berichten kunnen handig zijn: zo weet je altijd dat de ontvanger het bericht aankreeg. Aan de bevestiging zit echter risico verbonden.

Een team onderzoekers ontwikkelde een tool die met ontvangstbevestigingen aan de slag gaat om de locatie van een ontvanger te bepalen. ‘Freaky Leaky SMS’, zoals de tool heet, gebruikt daarvoor de timing van de berichten.

SMSC

Ontvangstbevestigingen worden door een afzonderlijk deel van het mobiele netwerk, het SMSC (Short Message Service Center) afgehandeld. Elke keer als er een SMS-bericht ontvangen wordt, wordt er een signaal teruggestuurd om de ontvangstbevestiging af te leveren. Aangezien mobiele netwerken een vaststaande structuur hebben en afhankelijk zijn van een aantal fysieke processen, kan op voorhand voorspeld worden hoe lang het zal duren voor de ontvangstbevestiging aankomt. Het omgekeerde is ook mogelijk: op basis van hoe lang het duurt vooraleer de bevestiging aankomt, kan de locatie van de ontvanger bepaald worden.

De onderzoekers gebruiken daarvoor een machine learning (ML)-algoritme dat op basis van de tijd tussen SMS en bevestiging een locatie kan bepalen. In 96% van de gevallen kon zo een locatie in het buitenland gepind worden. Bevindt je ontvanger zich in hetzelfde land? Dan is het systeem nog 86% zeker over de locatie.

Uitgelicht artikel Android smartphone Nieuwe Android-malware treft tienduizenden apps

Zo’n ML-algoritme moet natuurlijk data krijgen vooraleer het kan beginnen leren. Dat kan gebeuren door marketing-SMS’en te versturen: doorgaans worden die genegeerd door de ontvanger, die er nooit verder over nadenkt. Een andere optie is het versturen van zogenaamde ‘Type O’-berichten. Dat zijn stille SMS-berichten, die geen inhoud hebben, geen melding veroorzaken en ook niet in de berichten-app verschijnen. De O-berichten krijgen wel een ontvangstbevestiging via het SMSC-systeem, waardoor ze bruikbare data oplevert.  

Ook in België

Ook in België kunnen ontvangstbevestigingen je locatie prijsgeven. In ons land boekte de tool zelfs het meeste succes. Daar moet wel bij verteld worden dat er tests werden uitgevoerd op apparaten waarvan de locatie al bekend was. Wanneer dat niet het geval is blijkt het heel wat minder evident om een locatie vast te stellen. Toch zou wie er de nodige middelen voor wil inzetten in staat moeten zijn om vrij accuraat je locatie te achterhalen.

Een oplossing voor het probleem is er niet echt. ‘Freaky Leaky’ is een gevolg van de netwerkstructuur. Zonder verregaande aanpassingen aan die structuur te doen zal het probleem niet opgelost kunnen worden.  

AndroidBeveiliginggoogleiossmartphonessms

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600