EDICIóN GENERAL
403 meneos
5180 clics

Informe confirma uso de supercookies para rastrear móviles

Un reporte de Access con datos proporcionados por usuarios confirma que el 15% están siendo rastreados a través de supercookies por sus propias operadoras de telefonía móvil. En octubre de 2014, el equipo de Access, una organización internacional que defiende los derechos digitales de los usuarios en todo el mundo, creó una herramienta en línea para ayudar a determinar si un teléfono móvil está siendo atacado por supercookies, llevando a cabo una rápida verificación. Hasta la fecha, más de 200.000 usuarios han utilizado la herramienta y los r

etiquetas: informe , supercookies , rastrear , móviles , compañías de telefonía
  1. Según el test en mi móvil, Jazztel no usa supercookies.

    www.amibeingtracked.com/
  2. Espero que las mías lleven extra de chocolate, me encanta el chocolate.
  3. #23 Tenemos un gobierno que si le pones delante algo que no sea un ladrillo...
  4. #11 #12 #15 #18 #26 #43 #61 #62 #7 He montado un script en mi servidor para ver las cabeceras:

    gejo.org/cabeceras_http/

    Si entras con el WIFI desactivado, busca la línea:
    X-UP-SUBNO: 034XXXXXXXXXXXXXXXXX (en el caso de Movistar)
    Si está ahí estás siendo rastreado. Tu operador inyecta ese identificador, que es único para tu tarjeta SIM. Da igual que cambies de móvil.
    Activando WIFI y recargando verás que esa cabecera desaparece. Comparando las cabeceras por WIFI y por móvil puedes saber lo que añade tu operador.

    Con esta información, varias webs pueden asociarse para compartir esa información y saber si has visitado algún otro de los asociados. Aún peor: si introduces otros datos durante tu visita (nombre, dirección, email...) se pueden relacionar inequívocamente con tu SIM para elaborar una completa base de datos con tu identidad, tus gustos y tus hábitos de navegación.

    El código del script en PHP es bastante sencillo.
    Comparto por si lo queréis probar vosotros mismos:

    <?php
    if( !function_exists('apache_request_headers') ) {
    function apache_request_headers() {
    $arh = array();
    $rx_http = '/AHTTP_/';
    foreach($_SERVER as $key => $val) {
    if( preg_match($rx_http, $key) ) {
    $arh_key = preg_replace($rx_http, '', $key);
    $rx_matches = array();
    $rx_matches = explode('_', $arh_key);
    if( count($rx_matches) > 0 and strlen($arh_key) > 2 ) {
    foreach($rx_matches as $ak_key => $ak_val) $rx_matches[$ak_key] = ucfirst($ak_val);
    $arh_key = implode('-', $rx_matches);
    }
    $arh[$arh_key] = $val;
    }
    }
    return( $arh );
    }
    }
    $headers = apache_request_headers();
    foreach ($headers as $header => $value){
    echo "$header: $value <br />n";
    }
    ?>


    Simplemente obtiene las cabeceras mediante la función apache_request_headers (y la define si la configuración del servidor no la acepta, como es mi caso).

    No recopilo ninguna información (aunque sería muy fácil), sólo la muestro en pantalla.
  5. Movistar me trackea con x-up-subno :-(
  6. No sé por qué, es una noticia que a día de hoy no me extraña nada.
  7. #11 #16 developerboards.att.lithium.com/t5/Technical-Questions-Discussion/X-Up
    "Your x-up-subno is tied to your SIM, not your phone. If you replace your SIM card - you will get a new subscriber ID."

    AT&T:"The x-up-subno is an identifier that is inserted by the gateway into the header and is always there for all subscribers. The x-up-callingline-id is only there for certain subs where we have allowed it as this is the phone number. "
    :-O :-O :-O
  8. #11 Positivo con Vodafone.
    A ver quien es el guapo que llama al SAT para perdir que lo desactiven y no muere en el intento
  9. Extraído del informe enlazado en la noticia

    The following mobile carriers are using tracking headers: AT&T, Bell Canada, Bharti Airtel, Cricket, Telefonica de España, Verizon, Viettel Peru S.a.c., Vodafone NL, and Vodafone Spain
  10. 128 Clicks, 26 Meneos, sólo 3 comentarios y Portada
    Hay temas mágicos en MNM :troll:
  11. #68 acabo de hacer la prueba configurando un servidor vpn en casa usando no-ip. Al hacer la prueba con 3G la cabecera desaparece. Si la navegacion no se resiente se quedara asi
  12. ¡ @jagüi por aquí te necesitan!!
  13. Próximamente otro aviso al entrar en cada web:
    Esta web utiliza 'supercookies' propias y de terceros para ofrecerte una mejor experiencia y servicio. Al navegar o utilizar nuestros servicios, aceptas el uso que hacemos de las 'supercookies'. Sin embargo, puedes cambiar la configuración de 'supercookies' en cualquier momento.
  14. #11 +1 A mí igual
  15. #11 A mí no, ¿es por estar con Pepephone?
  16. #11 A mi igual
  17. Y nosotros con nuestra ley de cookies matando pajaros a cañonazos...
  18. #16 Pero es que en este caso no es la web (ni son cookies), es el operador.
  19. #14 A mi Pepephone tampoco me rastrea :hug:
  20. #59 Entonces parece que de momento te has librado :-)
  21. El Supermonstruo de las Galletas estará contento.
  22. Diferencia con una cookie normal: Que es difícil de borrar y lo más importante, ignoran la navegación privada
  23. #32 Pero es que en este caso no son ese tipo de cookies.

    Por otro lado ya se está debatiendo cambiar la definición de cookies a "medios que permitan hacer un seguimiento" aunque no sean archivos depositados en el dispositivo.

    Finalmente: cuidado con los consejos, a modo curiosidad puede estar bien... pero pueden no ser legales.

    Y una última, por si os interesa a modo investigación: canvas cookies. Buscarlo en Google.
  24. #4 Nadie quiere decir nada que pueda ser rastreado con una de esas supercookies :-P
  25. #40 3G. Probado con ff+abp y con chrome pelado. Negativo en los dos casos.
  26. #10 Deferencia con una cookie normal: que no es una cookie. Se llaman supercookies, pero son cabeceras de nivel de red añadidas a los mensajes. Lo hace el proveedor por el camino que siguen tus paquetes. No es que sean "difíciles de borrar", es que directamente no puedes hacer nada, salvo cambiar de proveedor. Y, si lo que quieren es seguirte por algo, es probable que esto tampoco sirva.
  27. #55 El artículo lo explica por encima, y te aclara que no es una cookie. Creo que deberías haberlo leído antes de comentar algo como lo que has comentado.
  28. #8 We've found out that TELEFONICA DE ESPANA is tracking you.  media
  29. #26 Pues yo he sido el guapo. Ayer perdí 1h llamando a Movistar para pedir explicaciones.

    Llamé al servicio técnico para preguntar por qué estoy siendo rastreado y cómo puedo evitarlo. Me dijeron que allí sólo resolvían dudas de configuración. Me derivaron al departamento comercial, que no entendieron nada y me volvieron a derivar al s.t. Allí insistieron en que no tenían a nadie que pudiera resolver mi consulta, y que tenían que ser los del dpt. comercial quienes abrieran una incidencia para que un operador cualificado se pusiera en contacto conmigo para darme explicaciones. Me volvieron a derivar a un comercial que, tras mis amenazas de denuncia a Protección de Datos, accedió a tomar nota de mi consulta y me aseguró que "en breve" me llamará alguien que sepa de qué va todo esto.

    Tengo anotadas las horas, nombres, números de operador y números de referencia de cada llamada. Algunos operadores eran reticentes a dar su número de id. (sólo daban nombre de pila) y tuve que insistir para conseguirlo.

    Pregunté si tenían inconveniente en que la conversación fuera grabada (para poder utilizarla como prueba ante PdD), y todos me pidieron que no lo hiciera. Fui honrado y no lo hice porque, al fin y al cabo, el operador no tiene ninguna culpa, pero no descarto grabar conversaciones posteriores si no recibo una explicación coherente.

    Aún no me han llamado. Si me contestan os transcribiré aquí sus explicaciones.

    Ahora me siento como Paco Martínez Soria en Don Erre que Erre...  media
  30. Debería llamarse mas la atención de este asunto centrándose en el operador con noticias tipo "Movistar pone en riesgo la privacidad de sus usuarios añadiendo datos de identificación de la linea de movil a las conexiones web"

    ¿Cual es el objetivo de esta cabecera?
    ¿Por qué unos operadores lo usan y otros no? Si unos operadores no lo usan no tiene que ser necesario para nada.
    ¿Por qué según los comentarios de los usuarios parece que a unos usuarios de movistar sí les añaden la cabecera antiprivacidad y a otros no?
  31. #68 Por VPN nunca deberían ser marcados los datos, al ir cifrados.
    Por tethering en cambio es raro (e interesante) que no los marquen, en los Iphone sí que lo tienen fácil porque el teléfono te pone otro APN, pero en Android creo que en principio tienen que detectarlo por el UserAgent, MTU... si a través de tethering no los marcan quiere decir que hay una forma de evitar el marcado, aunque posiblemente difícil (lo recomendable es mandarles a la mierda).
  32. Al menos un puñetero enlace a esa aplicación en linea.
  33. #11 Yo en vodafone no.
  34. #19 Otro con Vodafone que tampoco está sie do trackeado.
  35. Lo más simpático de la página es que en las posibles soluciones te dice entre otras:

    - Contacta con tu autoridad local responsable de privacidad
    - Dile a tus representantes electos que no te gusta ser trackeado

    xD xD xD

    - Y lo de decirle al operador que no quieres formar parte del programa de anuncios también es para partirse el culo xD
  36. #12 +1 Movistar. Penoso
  37. #8 potafone parece que tampoco
  38. #58 Sí. Está desactivada.
  39. #56 lo que he comentado es lo que la gente normal puede entender.
  40. Negativo con Vodafone y un móvil libre con una ROM cocinada.
  41. #61 Para los que quieran ver todas las cabeceras con información que se envian (las normales las genera el navegador web de tu movil y ordenador) pueden utilizar webs como esta myhttp.info/

    Esta nueva cabecera de "supercookie" la genera y la incluye el operador de telecomunicaciones.

    En el sentido contrario, del servidor al usuario es un poco como aquel asunto de los operadores que bloqueaban la publicidad tipo adblock pero a nivel de operador.
    www.meneame.net/story/polemica-francia-filtro-anti-publicidad-instalad
    www.adslzone.net/2015/05/15/los-operadores-de-telefonia-planean-bloque
    m.xatakamovil.com/movil-y-sociedad/adios-publicidad-en-el-movil-los-op
  42. #65 hare la prueba tambien compartiendo internet con el portatil, aunque imagino que no cambiara el resultado.

    Montandolo para que use una vpn me podria cargar la cabecera?
  43. #67 He hecho la prueba compartiendo internet con otro cacharro (tethering), y en mi caso no pasan las cabeceras de rastreo.
    Se puede configurar una vpn de manera que elimine determinadas cabeceras de las peticiones http. Si puedes probarlo, me interesaría saber si te ha dado buen resultado.
  44. #9 Gracias, me parece desesperante que pongan un montón de enlaces a otros artículos de su propia web. No tuve paciencia para llegar al último enlace.
  45. Ni Pepephone ni Amena me rastrean.
  46. Con Hits (cobertura garrafone tampoco)
  47. No son cookies normales, son urukcookies
    (léase con voz de Gandalf)
  48. #26 A mi me da negativo en Vodafone
  49. #8 Yoigo no me rastrea
  50. #1 Osea que crean una herramienta para saber si te estan trackeando y la herramienta te trackea
  51. #7 tienes al menos 2 en el texto de la noticia :roll:

    #8 Yoigo también me ha dado negativo.
  52. A mi en Yoigo no me restrean. Al final Vodafone y Movistar, más caras y encima te espían.
  53. Habia visto esta web amibeingtracked.com en otro envio pero no sabia que se referia a este tema de las supercookies y la inyección de cabeceras http por parte del operador.

    ¿Cómo saben en el test de esta web que el operador no se está inhibiendo de inyectar la cabecera http de supercookie al detectar que la web es esa en particular?

    Esto es equivalente a si al realizar una llamada de voz el operador estuviese introduciendo en los silencios otras voces y otras palabras adicionales en la conversación.
  54. En #70 quería decir: al ir cifrados dentro de un túnel cifrado.
  55. Los superkukis!
    ...no ,no son cucos.
  56. #31 ADSL o 3G?
  57. #49 ¿Tienes deshabilitada la funcionalidad de ahorro de datos de Chrome? Si pone que tu proveedor es Google es que está activado.
  58. Lowi tampoco te rastrea, mejor
  59. #53 pues debe haber varios tipos, Esto no lo conocia
  60. #8 los míos dan ambos negativo, eroski (vodafone) y movistar
  61. #11 otro rastreado por movistar aqui. Toca buscar como utilizar esto para joderles
  62. #10 Analogía con el mundo real:

    Es como si te tatuaran el DNI en la frente.

    El taxista que te lleva a todas partes te ha tatuado el DNI en la frente. Toma nota de los establecimientos que visitas y lo que compras. Luego vende un informe con tus gustos a cualquier comerciante interesado. Después da igual que ya no vayas en taxi, llevas el DNI tatuado en la frente y no te lo puedes borrar.

    Aún peor: aunque vayas en tu coche particular, varios comerciantes pueden ponerse de acuerdo para compartir una base de datos de DNIs de las frentes de sus clientes añadiendo cada uno la información que consigue.
    Incluso hay un tío en cada esquina que va tomando nota de todos los DNIs de la gente que pasa por allí. Quizás pueda sacar tajada de esa información.

    Cuando entres a una panadería donde nunca has estado, te ofrecerán un chucho de crema porque el panadero sabrá que es lo que pediste una vez en otra panadería. Se lo puede haber dicho el taxista u otro comerciante asociado.
    Y también sabrá cómo te llamas y dónde vives porque una vez se lo contaste al pescadero.
    Y sabrá que vienes del museo.
    Y tus preferencias sexuales porque ayer te la cascaste en tetasgordaspuntocom.
    Y sabrá que la tienes pequeña porque un día compraste condones talla XS en la farmacia. Una caja de 12...

    Si quisieras montar un negocio, ¿cuánto pagarías por una base de datos completa y fiable de perfiles de usuario por DNI?
  63. Por si sois desarrolladores y quereis crear supercookies infernales del averno en vuestras aplicaciones: github.com/samyk/evercookie
  64. #38 Interesante, no conocía esa técnica pero ahora que si, mis métodos intrusivos malévolos serán mucho más eficaces.
  65. No me queda claro al final si son cookies o headers. Si es lo segundo, es peligroso legislar contra ellas porque prohibir añadir headers abre puertas al SPAM, man in the middle y cross scripting. E invalida todos los mecanismos de cache intermedio.
  66. #8 Con Pepephone (red Movistar) tampoco.
  67. Mmmm super-cookies....

    #20 ¡Sal de mi mente!  media
  68. Joder, ha sido leer el título y venirme a la cabeza esta pieza, mira que me llegó a resultar cargante macho...  media
comentarios cerrados

menéame