Skulle tilrettelegge for politiovervåkning – gjorde mobilkunder sporbare
Da telegiganten skulle tilfredsstille politiets krav til utlevering av kommunikasjonsdata, ble det mulig å spore mange av deres kunder.
Et mobilanrop var nok til å spore mange Telia-kunder. Årsaken: En skrivefeil i et viktig IT-system.
Denne feilen skjedde da Telia arbeidet med å tilfredsstille myndighetenes krav til utlevering av kommunikasjonsdata til politiet.
Skrivefeilen gjorde at informasjon om hvor Telia-kunder oppholdt seg ble delt i 2,5 år.
SKRIVELEIF: Her skulle det stått «P-Access-Network-Info», ikke «P-Access-Network-Id».
Telia har omtrent 2 millioner mobilkunder i Norge. Selskapet har beklaget til sine kunder og fikset sikkerhetssårbarheten så snart de var klar over den.
Dette brukes «P-Access-Network-Info» til
De ulike mobiloperatørene bruker en felles standard som heter Session Initiation Protocol (SIP) for å utveksle informasjon om deltakerne i en telefonsamtale. Denne standarden er svært detaljert, og inneholder en rekke krav til hva slags funksjonalitet operatørenes utstyr må støtte.
En av disse funksjonalitetene heter «P-Access-Network-Info», og informerer nettverket om hvilken basestasjon telefonen er tilkoblet. Denne funksjonaliteten gjør det mulig for teleoperatøren å forstå hvilke kapabiliteter mobiltelefonen til brukeren har på tidspunktet hvor den mottar en telefonsamtale: Er telefonen tilkoblet et 4G-nett? 5G-nett? Eller er telefonen tilkoblet wifi, slik at trafikken kan sendes gjennom det trådløse nettet for å avlaste mobilnettet?
Denne informasjonen er nyttig for teleoperatøren, slik at de blant annet kan tilpasse kvaliteten på lyden som samtalen skal gjennomføres med.
I dokumentasjonen til SIP-standarden står det eksplisitt at denne informasjonen potensielt kan være svært sensitiv, og at de som drifter systemet må ta forholdsregler for å sørge for at denne informasjonen kun holdes innenfor den trygge delen av telesystemet.
I forbindelse med en konfigurasjonsendring har Telia omdøpt navnet på funksjonaliteten fra P-Access-Network-Info til P-Access-Network-Id.
Systemene som håndterer SIP-meldingene er satt opp til å fjerne alle tilfeller av P-Access-Network-Info fra meldinger før de sendes videre til den andre parten i en samtale. Systemene fjerner kun slike beskjeder med navn de har kjennskap til, og P-Access-Network-Id er ikke en offisielt støttet beskjed. På grunn av denne skrivefeilen har posisjonen til mange Telia-kunder blitt delt i 2,5 år.
Kilde: The Internet Engineering Task Force
Mange var sporbare
Feilen som gjorde Telia-kunder sporbare lå i et viktig IT-system for bedriftskunder.
Dersom man ringte opp en Telia-kunde med bedriftsabonnement, var det mulig å se posisjonen til den man ringte.
NRKs tester viste at også privatkunder av Telia kunne spores dersom de ble oppringt av mobilkunder med bedriftsabonnement.
Det er samtidig slik at ikke alle Telia-kunder kunne spores. Tester viste at enkelte mobiler kun tidvis var sårbare og noen mobiler kunne aldri spores selv om de hadde Telia-abonnement.
Høyre-topp Peter Frølich lot NRK spore ham på vei til jobb. Han kalte det en «vanvittig opplevelse» da han så resultatet av noen få telefonanrop.
SPORET: Stortingstoppen Peter Frølich ble sporet gjennom Oslo.
Feilen avdekket hvilken basestasjon en mobil var tilkoblet. Det betyr at man fikk et omtrentlig område mobilen oppholdte seg i, ikke en nøyaktig posisjon.
NRKs tester viste at det typisk var mulig å anslå en mobils posisjon med 100 til 200 meters nøyaktighet i bynære strøk. Utenfor byer står basestasjonene lengre fra hverandre og resultatet ville da blitt langt mindre nøyaktig.
Telia opplyser at de ikke har fått rapporter fra kunder om unormal aktivitet som kan tyde på at sårbarheten har blitt utnyttet av andre.
Slik har vi jobbet
NRK ble klar over feilen da Harrison Sand i sikkerhetsselskapet Mnemonic gjorde tekniske tester med en av NRKs journalister.
For å utnytte feilen trengte man et Telia-simkort og en datamaskin.
I mobilanrop mellom Telia-kunder ble det delt informasjon om hvilken basestasjoner telefonene var tilknyttet. Denne informasjonen ble alltid delt dersom noen vilkår for samtalen var oppfylt. Man bryter seg altså ikke inn i et datasystem, men leste av informasjon som ble delt ved en feil. NRK har selvstendig dokumentert sårbarheten.
Etter den innledende fasen har NRK, parallelt med Mnemonic, dokumentert mer detaljert hvilke mobilbrukere som er påvirket og under hvilke forutsetninger.
Mnemonic har ikke jobbet på oppdrag for NRK og heller ikke fått betalt for deres undersøkelser.
I arbeidet med saken har NRK på forhånd innhentet et samtykke av mobileieren til å spore telefonens lokasjon.
Ikke nye krav
Telia har ikke ønsket å stille til intervju om saken, men har sendt over en uttalelse basert på NRKs spørsmål.
PÅ ALVOR: – Vi tar sikkerhet på største alvor, og investerer kontinuerlig i mennesker, prosesser og teknologi for å redusere risiko for Telia og våre kunder, skriver Daniel Barhom i Telia.
– Dessverre skjedde det en feil i konfigurasjonen da vi oppdaterte vår bedriftstjenesteplattform høsten 2023, skriver informasjonssjef Daniel Barhom i Telia.
Selskapet oppfylte myndighetenes krav om kommunikasjonskontroll både før og etter konfigurasjonsendringen, opplyser selskapet.
– Det som er viktig å få frem, er at oppdateringen av tjenesten ikke ble utløst av nye krav fra myndighetene, skriver Barhom.
To tilsyn undersøker Telia
Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) åpnet begge undersøkelser av Telia etter at sikkerhetshullet ble omtalt av NRK.
– Vi vil be om dokumentasjon, innhente fakta, og vi vil nok gjennomføre intervjuer med nøkkelpersoner i ledelsen og på teknisk side, sier sikkerhetsdirektør Svein Sundfør Scheie i Nkom.
TIL BUNNS: – Vi ønsker å komme til bunns i hva som har skjedd, hvorfor det har skjedd, og å sørge for at det ikke kan skje igjen, sier Scheie i Nkom.
– Nå er vi helt i startfasen av tilsynet. Vi skal innhente mer fakta og vi skal gjennomføre intervjuene slik at vi kommer til bunns i hva som har skjedd. Den foreløpige oppfatningen vi har, er at dette skjedde i forbindelse med at Telia innførte et nytt bedriftssystem, som skulle tilpasses dette «lawful interception»-regimet.
Strengt kontrollregime
Politiet i Norge har mulighet til å overvåke og spore mobiltelefoner, men terskelen er høy.
– Det gjelder strenge vilkår for at politiet skal kunne skaffe seg tilgang til kommunikasjonsdata. Det kreves som utgangspunktet skjellig grunn til mistanke om en straffbar handling som kan føre til fengsel i fem år eller mer, sier førsteamanuensis Ingvild Bruce ved Politihøgskolen.
For historiske posisjonsdata er vilkårene ikke like strenge, men å følge noens posisjon i sanntid krever lovbrudd som kan føre til fengsel i fem år eller mer, ifølge Bruce.
Hun mener det er alvorlig at informasjon om noens posisjon har blitt lekket.
STRENGT REGIME: På politisiden er det et strengt kontrollregime for å overvåke og spore mobiler, forteller Ingvild Bruce.
På politisiden har man Kontrollutvalget for kommunikasjonskontroll til å ettergå om bruken av skjulte etterforskningsmetoder er i tråd med lovverket.
– Det gjelder et ganske strengt kontrollregime på politiets bruk og innhenting av denne typen data. Det kan jo virke som at det kontrollregimet som gjelder når feilen skjer hos de private aktørene, altså før dataene kommer til politiet, ikke er like intensivt og at det kanskje bør vurderes om det bør strammes inn, sier Bruce.
NRK har spurt Nkom hvilke kontrollrutiner myndighetene selv har når de ber teleselskaper om å tilpasse sine systemer for politiovervåking:
– Det er tilbyderne som er ansvarlig for forsvarlig sikkerhet i sine systemer. Det er de som har den tekniske kunnskapen og skal gjøre disse tingene på riktig måte.
Sikkerhetsforsker snublet over sikkerhetshull
Sikkerhetshullet ble oppdaget ved en tilfeldighet 20. mars i år. Da hadde det ligget åpent siden høsten 2023.
– Jeg undersøkte hvordan svindlere kunne misbruke telenettet til å sende svindelmeldinger, fortalte sikkerhetsforsker Harrison Sand.
Som et ledd i testingen ringte han opp en av NRKs journalister. Da oppdaget Sand at Telia uoppfordret fortalte ham hvilken basestasjon journalistens mobil var tilkoblet.