Sikkerhetshull avslørte Telia-kunders posisjon

Sikkerhetshull avslørte Telia-kunders posisjon

Mobilkunder hos Telia har siden 2023 vært sporbare via mobilen, inkludert sentrale politikere på Stortinget.

BLE SPORET: Peter Frølich leder utenriks- og forsvarskomiteen på Stortinget. Her i møte med ukrainske soldater fra Azovbataljonen tidligere i år.

På vei til jobb får Peter Frølich noen innkomne mobilanrop. Han tar ikke telefonen, men mobilen hans lekker likevel hvor han befinner seg.

Slik kunne NRK følge ham i sanntid, helt inn til plassen i stortingssalen.

Høyremannen leder utenriks- og forsvarskomiteen på Stortinget. De siste årene har han også vært kjent for sitt engasjement for et fritt Ukraina.

– Det er en rimelig vanvittig opplevelse at NRK kan spore og overvåke meg på denne måten, sier Frølich da NRK viser ham sporingen.

RING RING: Her kan du se sporene Peter Frølich la igjen da NRK ringte ham.

– NRK sine kartkoordinater traff jo ett hundre prosent. Jeg satt i Stortingssalen akkurat som dere påsto.

– Hva tenkte du da?

– Da tenkte jeg at det var ubehagelig.

Høyre-toppen er langt fra den eneste som kunne spores.

Telia har rundt 2 millioner mobilkunder i Norge. Selskapet ønsker ikke å opplyse om nøyaktig hvor mange som var direkte påvirket av feilen.

NRK varslet Telia om sikkerhetshullet mandag 13. april. Den ble rettet natt til tirsdag. Selskapet beklager at feilen kunne skje.

Vet du noe om dette?

Feilen ble oppdaget 20. mars av sikkerhetsforsker Harrison Sand. Han jobber for det norske selskapet Mnemonic som spesialiserer seg på IT-sikkerhet.

FANT FEILEN: Sikkerhetsforsker Harrison Sand snublet over en alvorlig feil i telenettet.

– Jeg undersøkte hvordan svindlere kunne misbruke telenettet til å sende svindelmeldinger, sier Sand til NRK.

Som et ledd i testingen ringte han opp en av NRKs journalister. Da oppdaget Sand at Telia uoppfordret fortalte ham hvilken basestasjon journalistens mobil var tilkoblet.

– Oi, jeg kan spore Telia-kunders posisjon, var hans umiddelbare reaksjon.

NRK har siden testet og innhentet mer dokumentasjon om hvem som er påvirket av feilen.

Undersøkelsene viser at:

Phonero har flere store kunder i Norge. To av de mest profilerte er Forsvaret og politiet. Tester gjort av NRK viste at politiansatte kunne spores. NRK har ikke klart å påvise om ansatte i Forsvaret kunne spores.

Det er samtidig slik at ikke alle Telia-kunder kunne spores. Tester viste at enkelte mobiler kun tidvis var sårbare og noen mobiler kunne aldri spores selv om de hadde Telia-abonnement.

De konkurrerende teleselskapene Telenor og Ice ikke har den samme feilen, ifølge Mnemonic.

For å sjekke om et telefonnummer kan ta imot et anrop benyttes en kommunikasjonsprotokoll kalt Session Initiation Protocol (SIP). Denne protokollen benyttes av funksjonaliteten Voice over LTE (VoLTE) på 4G-nettet.

Når mobilbruker A ringer mobilbruker B, sendes dette via basestasjoner i Telias nett. Dersom mobilbruker B er på mobilnettet, vil mobilen deres motta anropet.

Normalt får mobilbruker A bare vite at et mobilanrop har nådd frem og at det ringer hos mottakeren. Feilen Telia har gjort er å legge ved mer informasjon i svaret – de opplyser også om hvilken basestasjon mobilbruker B er tilkoblet.

Dette kommer frem i «utran-cell-id-3gpp» som oppgir basestasjonens navn, for eksempel «242020af11e8b115» som står i nærheten av NRK Marienlyst.

Det står tusenvis av basestasjoner i Norge, og i byer står de tettere sammen.

Tester gjort av NRK og Mnemonic viser at man i Oslo typisk kan få en mobilbrukers posisjon til mellom 100 og 200 meters nøyaktighet.

Mobilbruker B må motta et anrop for at mobilbruker A skal få vite hvor mottakeren oppholder seg. Det er altså ikke mulig å ringe noen uten at de blir informert om det.

Norske mobilbrukere ringes stadig vekk av telefonselgere, svindlere, og markedsundersøkelsesfirmaer. Slik kan anropene maskeres og bli mindre mistenkelige for mobilbruker B.

For å utnytte feilen trenger man kun et Telia-simkort og en datamaskin. Det involverer ingen «hacking» eller innbrudd i datasystemer, men å lese informasjon som sendes inn og ut av en mobil når man begynner et telefonanrop.

Mobilbruker B trenger ikke å godta telefonanropet for å bli sporet. Unntaket er hvis mobilbrukeren har tvillingsim, for eksempel et simkort til mobilen og et til en smartklokke. Disse brukerne må godta anropet for å bli sporet.

Telia eier flere merkevarer innenfor mobilmarkedet. NRKs tester dokumenterer at feilen kan utnyttes for mobilbrukere av Telia og bedriftsmerkevaren Phonero.

I noen tilfeller har NRK ikke klart å innhente posisjonsinformasjon selv om mottakeren er Telia- eller Phonero-kunde.

Informasjon om plasseringen til en basestasjon offentliggjøres ikke av teletilbyderne eller norske myndigheter. Det er likevel enkelt å få opplyst posisjonen til en mobiltelefon dersom man kjenner basestasjonsnavnet, via kommersielle tjenester.

Å utnytte feilen involverte ikke noen form for datainnbrudd eller «hacking». Det holdt å lese av informasjon som ble sendt til mobiltelefonen ved et anrop.

Det krever en viss teknisk innsikt å utnytte feilen, men ingen spesialverktøy.

Det avslørte hvilke basestasjoner den oppringte var tilkoblet. I bynære strøk kan man med denne informasjonen anslå en mobilbrukers posisjon til mellom 100 og 200 meters nøyaktighet.

BASESTASJONER: Det finnes tusenvis av basestasjoner i Norge. De gjør det mulig for mobiltelefoner å koble seg på det sentrale telenettet.

– Det som undersøkelsene viser nå, er at feilen oppsto ved en konfigurasjonsendring vi gjorde i 2023. Vi beklager selvfølgelig på det sterkeste det avviket som har oppstått, sier Lena Lundgreen som leder bedriftsmarkedet i Telia Norge.

BEKLAGER: – Vi beklager på det sterkeste det avviket som har oppstått, og forstår at det kan være bekymringsfullt for kundene våre, sier Lena Lundgreen i Telia.

– Hvor mange kunder var ramma?

– Vi kan ikke tallfeste antall kunder, men omfanget var begrenset og avviket er nå lukket.

Telia opplyser at feilen ligger i systemer for bedriftskunder, og at privatkunder kunne være sporbare dersom de ble ringt opp av en bedriftskunde.

Telegiganten opplyser til NRK at de har varslet Datatilsynet og Nasjonal kommunikasjonsmyndighet om feilen.

NRK ble klar over feilen da Harrison Sand i sikkerhetsselskapet Mnemonic gjorde tekniske tester med en av NRKs journalister.

For å utnytte feilen trengte man kun et Telia-simkort og en datamaskin.

I mobilanrop mellom Telia-kunder ble det delt informasjon om hvilken basestasjoner telefonene var tilknyttet. Denne informasjonen ble alltid delt dersom noen vilkår for samtalen var oppfylt. Man bryter seg altså ikke inn i et datasystem, men leste av informasjon som ble delt ved en feil. NRK har selvstendig dokumentert sårbarheten.

Etter den innledende fasen har NRK, parallelt med Mnemonic, dokumentert mer detaljert hvilke mobilbrukere som er påvirket og under hvilke forutsetninger.

Mnemonic har ikke jobbet på oppdrag for NRK og heller ikke fått betalt for deres undersøkelser.

I arbeidet med saken har NRK på forhånd innhentet et samtykke av mobileieren til å spore telefonens lokasjon.

Digitaliserings- og forvaltningsminister Karianne Tung sier at sikkerhetsbruddet er alvorlig.

– Norske innbyggere skal være trygge på at personopplysningene blir behandlet ordentlig og skikkelig.

Digitaliserings- og forvaltningsminister Karianne Tung sier sikkerhetsbruddet er alvorlig.

Tung sier at det er Nasjonal kommunikasjonsmyndighet (Nkom) som har ansvaret for tilsyn og kontroll av teleselskapene.

Nkom iverksetter nå tilsyn med Telia, sier direktør John-Eivind Velure.

– Vi vil finne ut hva som har skjedd, hvordan det kunne skje og for å jobbe for at dette ikke skal kunne skje igjen fremover.

John-Eivind Velure, direktør i Nkom sier de iverksetter tilsyn med Telia.

– Det er et alvorlig avvik som vi har fått melding om nå. Det skal ikke skje. Vi må finne ut nærmere hva som faktisk har skjedd og hva slags konsekvens det eventuelt vil få, sier Velure.

REAGERER: Selv om politikere som Peter Frølich tar forholdsregler og legger igjen mobiler når sensitive saker behandles, så reagerer han på at det var mulig å bli sporet.

NRK har i arbeidet med denne saken innhentet samtykke av mobileieren til å spore deres bevegelser. Slik har NRK sporet politiansatte, journalister og helt vanlige Telia-kunder.

NRK har også hatt mulighet til å sjekke hvem som var sårbare for denne feilen uten å innhente deres stedsdata.

Disse undersøkelsene viste at man kunne spore ansatte i Nasjonal sikkerhetsmyndighet, Nasjonal kommunikasjonsmyndighet, og Datatilsynet.

Det ville også vært mulig å spore politikere for alle partiene på Stortinget.

– Vi ser veldig alvorlig på at posisjonsdata har vært åpent tilgjengelig. Det er noe vi tar dypt inn over oss, sier Martin Albert-Hoff, avdelingsdirektør for operativ cybersikkerhet i NSM.

Avdelingsdirektør for operativ cybersikkerhet i NSM Martin Albert-Hoff ser alvorlig på at ansattes posisjonsdata har vært åpent tilgjengelig.

Han har selv blitt rammet.

– Jeg har blitt gjort kjent med at jeg er en av disse personene.

Albert-Hoff sier at ansvaret ligger hos Telia.

– Det er til syvende og sist tjenestetilbyderen som er ansvarlig for sikkerheten i sine produkter. Feil og sårbarheter vil kunne ramme alle, sier han.

Hovedlærer i etterretning ved Forsvarets høgskole, Tom Røseth, sier sikkerhetsbruddet kunne fått alvorlige konsekvenser.

– Personell som har en viktig funksjon, enten fordi de har en rolle som maktpersoner, eller eksempelvis militært personell som har sensitive funksjoner, kan ha stått i fare.

Maktpersoner og militært personell kan ha vært i fare som følge av Telias sikkerhetsbrudd, sier Hovedlærer i etterretning ved Forsvarets høgskole, Tom Røseth.

– Spesielt med tanke på krigen i Ukraina, så er det bekymringsfullt om disse har kunnet blitt sporet, sier Røseth.

I februar advarte PST om at den kinesisk-tilknyttede hackergruppen «Salt Typhoon» har brutt seg inn i norske selskaper.

Hackergruppen spesialiserer seg på telekom-sektoren og skal ha brutt seg inn i flere amerikanske teleselskaper. Målet til hackergruppen skal være å innhente etterretning.

Det finnes også en hel industri av selskaper som tilbyr overvåkningstjenester til myndigheter og private.

NRK omtalte i fjor høst at daværende Telenor-topp Sigve Brekke ble sporet av selskapet First Wap gjennom telenettet.

Sand frykter at han ikke er den første som har funnet feilen han snublet over.

– Jeg mener det er mer sannsynlig at avanserte trusselaktører har vært klar over denne feilen enn ikke, dersom feilen har vært der i flere år.

Har du informasjon om saken eller andre krimsaker? Du kan tipse anonymt via NRKs krypterte varslertjeneste.

LES MER:                        ©NRK.NO