Blandt andet på Twitter har internetaktivist og datalog Christian Panton foranlediget en heftig debat med en test, der viser, hvordan nogle teleselskaber sender kunders telefonnumre til udvalgte samarbejdspartnere via HTTP-headeren, når der surfes fra den mobile dataforbindelse.
Nu har Telenor taget konsekvensen og lukket for den metode, der gjorde testen mulig. Det bekræfter pressechef Tom Lehn Christensen:
»Ja, vi lukkede for dette i går aftes,« skriver han i en mail ud at gå i yderligere detaljer.
Christian Pantons demonstration anvender kommando-linje-værktøjet curl. Nærmere bestemt har testen foregået med kaldet:
Det sætter HTTP-host-headeren til at være portal.unwire.com – Unwire er en af de samarbejdspartnere, flere teleselskaber sender mobilnummeret til ved surf fra den mobile dataforbindelse. Men den faktiske opkobling sker til Christian Pantons server, som returnerer flere af de header-felter, mobiltelefonen kalder med. Og her ligger mobilnummeret i et af felterne.
Tidligere, når Telenor med host-headeren har registreret, at kaldet foregår til en godkendt URL hos en samarbejdspartner, har teleselskabet også indskudt nummeret på mobiltelefonen, der sufes fra, i et header-felt. Og det er fremkommet af Pantons test, da den har returneret header-felterne. Her har brugere så kunnet se deres eget mobilnummer, som et af felterne.
Det er ikke muligt længere. Muligvis fordi Telenor ikke blot checker, hvorvidt host-headeren er en godkendt URL, men nu også scanner for, om ip-adressen, der kaldes op til, passer sammen med url’en i host-headeren.
»Der er flere måder at implementere sådan et filter på, men det er da en af de oplagte,« skriver Christian Panton i en mail til Version2.
Han vurderer, at det er med til at øge sikkerheden i forhold til misbrug, at Telenor nu ikke sender telefonnummeret med den mobile dataforbindelse baseret alene på host-header.
Den vurdering er HTX-studerende og it-interesseret Emil Stahl enig i. Ved siden af studierne arbejder han blandt andet med programmering og hjemmesider. Han har fulgt sagen tæt og været i løbende dialog om den med Telenor – både telefonisk og på Twitter.
Emil Stahl mener, at det har kunnet lade sig gøre at misbruge funktionaliteten via en mobil-app.
»Telenor har lukket for et sikkerhedshul, hvor en app på den måde, ville kunne få oplyst telefonnummeret, selvom den ikke have tilladelse til det,« siger han.
Ifølge Emil Stahl ville en app kunne sende en http-forespørgsel med en – af teleselskabet – godkendt host-header, hvorefter en server svarer tilbage med telefonens nummer. Dette vil så kunne tilgås af app’en, selvom den i udgangspunktet aldrig har fået tilladelse til at indhente telefonens nummer
Selvom der nu måtte være lukket ned for den metode, mener Emil Stahl dog, det ville være bedre, hvis kunderne aktivt tilvalgte, at deres telefonnumre blev sendt via HTTP-headeren til teleselskabernes samarbejdspartnere i stedet for, at det sker automatisk.
Ifølge Version2’s oplysninger, har TDC også sendt mobilnumre til udvalgte samarbejdspartnere alene baseret host-headeren, hvilket ifølge en test heller ikke længere lader til at være tilfældet.
Teleselskabets presseafdeling har dog endnu ikke kunnet bekræfte, at selskabet har lukket for den mulighed. Derudover forlyder det, at i hvert fald et af TDC’s datterselskaber stadig sender nummeret med i HTTP-headeren alene baseret på host-header-informationen.
Leave a Reply