Door Anoniem: @Erik van Straaten,
T Mobile usa is voor zover ik weet jaren geleden verzelfstandigd.
T Mobile NL was toen nog een dochter van Deutsche Telekom en is dit vziw nog steeds. Dus die twee zijn niet direct vergelijkbaar. Er zitten twee nieuwe generaties telefoon systemen tussen de afsplitsing en nu.
Kan zijn, maar er bestaat duidelijk ook een relatie tussen t-mobile.com en Deutsche Telekom (telekom.com), want die eerste verwijst (links onderaan de homepage) naar die tweede.
eSIM-swapping binnenkort mogelijk!En, alsof er nog niet genoeg ongewenste SIM-swaps zijn, uit
https://www.telekom.com/en/media/media-information/archive/esim-transfer-made-easy-1028038:
Media information: eSIM transfer made easy
Media | 03-01-2023 | Verena Fulde | 0 Comments
Deutsche Telekom revolutionizes eSIM transfer with Google
• The process developed is both simple and secure
[...]
All a customer needs is their old and new cell phones in close proximity to each other to enable a simple and secure transfer.
[...]
This feature will enable customers to seamlessly switch to their new Android device upon setup, without having to wait for a physical SIM, or contact carrier support.
[...]
Dat is vast veel veiliger dan "knip uw oude SIM-kaart doormidden en wacht tot een koerier deze komt ophalen, uw nieuwe SIM-kaart ontvangt u binnen 5 werkdagen".
Maar... waarom zou ik m'n oude fysieke SIM-kaart niet gewoon in m'n nieuwe smartphone stoppen?
Dat is -toegegeven- wat lastiger met een eSIM, maar was dat niet by design om eSIM-swapping niet supereenvoudig te maken, wat we nu supereenvoudig gaan maken?
www.t-mobile.nl privacy-attacksLos van de aangekondigde eSIM-swaps zie ik veel rottigheid op de site van t-mobile.nl: de halve analytics-, tracking- en advertising-wereld kijkt mee. Naast met www.t-mobile.nl, wordt er verbinding gemaakt met:
4228588.fls.doubleclick.net
6004843.global.siteimproveanalytics.io
adservice.google.com
adservice.google.nl
analytics.twitter.com
bam.nr-data.net
bat.bing.com
bc.t-mobile.nl
cdn.blueconic.net
collect.t-mobile.nl
connect.facebook.net
ct.pinterest.com
deploy.mopinion.com
dev.visualwebsiteoptimizer.com
fonts.gstatic.com
googleads.g.doubleclick.net
js-agent.newrelic.com
opt.objectiveportal.com
s.pinimg.com
s2.adform.net
sc-static.net
script.hotjar.com
server.adform.net
siteimproveanalytics.com
static.ads-twitter.com
static.hotjar.com
stats.g.doubleclick.net
t.co
tags.tiqcdn.com
tr.snapchat.com
www.facebook.com
www.google-analytics.com
www.google.com
www.google.nl
www.googleadservices.com
www.googletagmanager.com
www.gstatic.com
Automatisch niet inloggen, wel httpEn als ik automatisch inloggen aanzet (gebaseerd op mijn T-Mobile telefoonnummer, zie
https://www.security.nl/posting/622467/T-Mobile+autologon+en+eSIM+risico%27s), en ik 4G gebruik (WiFi uitzet), en in
https://www.t-mobile.nl/ op INLOGGEN druk, vindt (tussendoor) een redirect plaats naar
http://www.t-mobile.nl/login (let op:
http)
waarna een redirect plaatsvindt naar:
https://www.t-mobile.nl/login?NATicket=<lange_hex_string>Gokje: NA = Network Authentication. Welke malloot heeft bedacht dat het OK is om mijn browser naar http te laten schakelen tijdens inloggen en een
authentication token via http te verzenden? (Nb. dit gebeurt alleen via 4G met een T-Mobile telefoonnummer). Dat dit gebeurt kun je niet missen als jouw browser is ingesteld op https only, want dan verschijnt er een vette waarschuwing.
Duidelijk is ook dat www.t-mobile.nl
geen HSTS gebruikt, want dan zou dit naar http terugzakken niet eens mogelijk zijn.
Automatisch inloggen krijg ik echter niet aan de praat (wellicht door beveiligingsinstellingen op mijn devices), ik moet en zal e-mail-adres, wachtwoord en "I'm not a robot" aanvinken - waarbij ik op m'n desktop browser (thethering via de smartphone) ook van tig plaatjes moet aangeven wat er wel of juist niet op te zien is.
Oeps als een AitM NATicket in handen krijgtEchter, op mijn desktop browser zie ik achter INLOGGEN wel mijn 06-nummer verschijnen, en in de browser debug logs (naast 06-nr.) o.a. mijn geboortedatum, klantnummer, CellLocation, SubscriptionType, IsTwoFactorAuthDisabled etc. Die (privacy-gevoelige) gegevens worden ook naar
collect.t-mobile.nl gestuurd met IP-adres 52.223.16.43 - zo te zien Amazon USA.
Nu is 4G wellicht niet zo eenvoudig te AitM'en als public WiFi, maar dit stinkt aan alle kanten.
Stompzinnige instellingen en defaultOok kun je in de instellingen op de website niet zien of "automatisch inloggen" aan staat of niet. Als dat uit staat (d.w.z. je het hebt
uitgezet, uitgelogd bent en weer ingelogd), en de instellingen hiervoor weer opent, is de default keuze
niet de huidige instelling (uit), maar
automatisch inloggen met "volledige toegang". T-Mobile (NL) wil dus duidelijk erg graag dat je dat kiest - terwijl het niet werkt maar wel onveilig is.
Geen extra beveiliging tegen (e)SIM-swapsDaarnaast zie ik in de instellingen nog steeds geen mogelijkheid om (e)SIM-swaps met een extra beveiligingscode te blokkeren (los van hoeveel dat helpt, ik heb -ik weet niet meer waar- gelezen dat je in de USA wel zo'n code kunt zetten, maar dat ondanks dat SIM-swaps soms toch mogelijk blijken).
Simpele fix (voor SMS, niet voor voice):
https://www.security.nl/posting/638976/Secure+SMS+2FA+Proposal.