Національна мобільна мережа O2 UK витікала геолокаційні дані та ідентифікатори користувачів через VoLTE і WiFi-дзвінки з лютого 2023 року — помилку виправили лише зараз. Дослідник безпеки виявив, що через SIP-заголовки зловмисники могли визначити місцезнаходження абонентів з точністю до 100 м², включно з IMSI, IMEI та даними веж.
Дослідник Даніель Вільямс за допомогою rooted-смартфона Pixel 8 і застосунку Network Signal Guru перехопив IMS-сигнали під час WiFi/VoLTE-дзвінків у мережі O2 UK. SIP-заголовки містили вразливі дані: IMSI, IMEI, ідентифікатори серверів, помилки з внутрішніх C++ сервісів та Cell ID останньої вежі, з якою був з’єднаний абонент. Використовуючи публічні бази даних веж, дослідник легко визначив точні координати цілі — навіть за межами Британії, зокрема в Копенгагені. Компанія Virgin Media O2 визнала проблему та повідомила про впроваджене виправлення 19 травня 2025 року. Користувачам не потрібно вживати жодних дій.
O2 UK — один із провідних телеком-провайдерів Британії з понад 23 млн мобільних користувачів. Сервіс 4G Calling (IMS/VoLTE) був запущений ще у 2017 році для покращення якості дзвінків. Проте його реалізація виявилася занадто “балакучою” на рівні сигналізації SIP — де й крився вектор витоку. Попри багатократні спроби дослідника зв’язатися з оператором у березні 2025, відповідь була надана лише після публікації фактів.
Навіть великі оператори можуть роками не помічати критичних витоків приватних даних. Інцидент з O2 UK показує важливість моніторингу IMS/VoIP-рішень та мінімізації діагностичних метаданих. Користувачам варто усвідомлювати ризики навіть у звичних сервісах, як-от дзвінки через 4G.
