Группа исследователей из Северо-Восточного и Нью-Йоркского университетов открыла новый способ отслеживания геопозиции человека. Они предлагают анализировать задержки при доставке SMS-сообщений, поскольку такой метод обеспечивает точность определения страны, города и района получателя до 96%.
Для сопоставления задержки и местоположения использовалась система машинного обучения, тренированная на основе измеренных задержек для типовых мест, вычисленных относительно текущего местоположения отправителя. В частности, она использует данные об отправке (CP-ACK) от опорной сети и доставки (SMS-DR, Delivery Report) от оператора.
Метод любопытен тем, что не требует доступа на уровне инфраструктуры оператора и может быть выполнен рядовым пользователем незаметно через отправку «тихих» сообщений, не отображаемых получателю. Атака проводится в два этапа: хакер периодически отправляет серию SMS нулевого типа (Silent SMS или SMS Type 0) и замеряет время получения уведомления о доставке и сопоставляет их. На второй стадии данные о задержках доставки накапливаются вслепую, а местоположение вычисляется на основе построенной модели машинного обучения и решения задачи поэтапного прогнозирования — вначале определяется континент, потом страна и затем регион. Так, точность определения одного из двух регионов в Бельгии составила 86%, в Германии — 68%, Греции — 79%, а в ОАЭ — 76%.
Защититься от такой атаки можно либо на стороне оператора при использовании блокировки сообщений SMS-DR, либо при переводе службы SMS Home Routing в непрозрачный режим, когда оператор получателя передаёт ответ о доставке сообщения мгновенно, независимо от того, где находится абонент.