Comment les compagnies de téléphone peuvent-elles détecter le partage de connexion (y compris le point d'accès Wi-Fi)

25

Les opérateurs de réseaux mobiles (également: compagnies de téléphone, opérateurs de télécommunications, fournisseurs) proposent parfois des forfaits de données à bas prix qui ne sont utilisables que par téléphone. Ou alors, disent-ils.

Comment peuvent-ils faire la distinction entre un utilisateur naviguant sur le Web avec un navigateur sur son téléphone Android et un utilisateur utilisant un navigateur sur un ordinateur portable connecté à un téléphone Android?

Début 2012, j'étais à Paris et j'utilisais un package de données mobiles Orange avec un Nokia E51 (Symbian S60). En effet, je ne pouvais accéder à Internet qu'en utilisant le navigateur du téléphone, pas depuis mon ordinateur portable attaché au téléphone. Maintenant, j'ai un téléphone Android 2.3 et je pense à m'abonner à un paquet de données similaire en Espagne (opérateur Más Móvil).

feklee
la source
3
Cela peut être fait avec deep packet inspection. Vous pouvez riposter avec TOR, tunnels et vpn entourés de Stacheldraht.
ott--

Réponses:

30

La façon dont ils détectent que quelqu'un attache un appareil n'est pas quelque chose dont les fournisseurs de réseau veulent souvent parler, pour la raison évidente que plus les consommateurs savent comment cela est détecté, plus il leur est facile de trouver des moyens de cacher le le fait qu'ils le font, et éviter les frais supplémentaires associés (1) . Cependant, il existe certaines techniques connues qui indiqueront que vous êtes actuellement connecté, si votre fournisseur de services utilise le bon outil pour vérifier ces indicateurs:

Votre téléphone demande à votre réseau si le partage de connexion est autorisé

La première et la plus simple consiste à interroger le réseau sur certains réseaux pour vérifier si le contrat actuel autorise le partage de connexion, puis à désactiver totalement les options de partage de connexion sur l'appareil dans le logiciel sinon. Cela ne se produit généralement que si vous exécutez une version du système d'exploitation qui a été personnalisée par votre fournisseur, exemple 1 exemple 2 .

Votre téléphone informe votre réseau que vous êtes connecté

La rumeur dit également que certains téléphones ont un deuxième ensemble de détails APN enregistrés en eux par le réseau téléphonique, lorsque vous activez le partage de connexion, ils passent à l'utilisation de ce deuxième APN pour tout le trafic connecté, tout en utilisant l'APN normal pour le trafic provenant du téléphone. Cependant, je n'ai trouvé aucune preuve concrète de cela, à part des personnes qui trouvent des APN étranges et se demandent à quoi elles servent (gardez à l'esprit qu'un téléphone déverrouillé acheté hors contrat peut contenir des centaines ou des milliers d'APN, prêts pour utilisation sur n'importe quel réseau dans le pays où le propriétaire éventuel décide de l'utiliser).

Inspecter les paquets réseau pour leur TTL (durée de vie)

Chaque paquet réseau voyageant à travers un réseau TCP / IP , comme Internet, a un temps de vie ( TTL ) intégré , de sorte qu'en cas de problème avec ce paquet atteignant sa destination, cela l'arrêtera voyager autour du réseau obstruant toujours tout.

La façon dont cela fonctionne est que le paquet commence par un numéro TTL (disons 128) défini lorsqu'il quitte l'appareil d'envoi (votre téléphone ou ordinateur portable), puis à chaque fois que le paquet passe par un routeur de toute nature (comme votre routeur domestique à large bande, ou un routeur de votre fournisseur de services Internet ou de votre compagnie de téléphone), ce routeur soustrait un du TTL (ce qui décrémenterait le TTL à 127 dans cet exemple), le prochain routeur par lequel il passera diminuera à son tour le TTL, et ainsi de suite allumé, si le TTL atteint zéro, le routeur est au rebut du paquet et ne le transmet plus.

Lorsque votre téléphone est connecté, il agit comme un routeur. Ainsi, lorsque le paquet passe de votre ordinateur portable connecté à votre téléphone et sur le réseau téléphonique, votre téléphone soustrait "1" du TTL pour montrer que le paquet est passé par son premier routeur. . Les réseaux téléphoniques savent quels sont les TTL attendus des appareils courants (par exemple, les paquets d'un iPhone commencent toujours à un TTL de 64), et ils peuvent donc repérer quand ils sont un de moins (ou totalement différents) que ce qu'ils attendent.

Inspection d'adresse MAC

Les appareils sur un réseau TCP / IP, comme Internet, ont tous un ID MAC unique défini sur leurs interfaces réseau. Il est composé de deux moitiés, une moitié identifiant le fabricant de l'interface, et l'autre moitié étant un identifiant unique attribué par le fabricant (comme un numéro de série). Chaque paquet réseau envoyé aura été "estampillé" avec l'adresse MAC du port réseau de l'appareil d'origine. L'adresse MAC de la carte wifi de votre ordinateur portable aura un fabricant et un code série très différents de l'adresse MAC de l'interface 3G de votre téléphone.

Empreinte digitale de la pile TCP / IP

Différents systèmes d' exploitation informatiques (par exemple Android, iOS, Windows, Mac OSX, Linux, etc.) configurent leurs piles TCP / IP avec des valeurs et des paramètres par défaut différents (par exemple, la taille initiale du paquet, la TTL initiale, la taille de la fenêtre ...). La combinaison de ces valeurs peut donner une «empreinte digitale» qui peut être utilisée pour identifier le système d'exploitation exécuté sur le périphérique d'origine. Un effet secondaire de cela peut signifier que si vous utilisez un système d'exploitation inhabituel ou un système d'exploitation similaire à celui de votre téléphone sur votre autre appareil, votre connexion peut ne pas être détectée .

Regarder l'IP / URL de destination

Vous pouvez en apprendre beaucoup sur ce avec quoi un appareil communique régulièrement.

Par exemple, de nombreux systèmes d'exploitation utilisent de nos jours la détection de portail captif lorsqu'ils se connectent pour la première fois à un réseau wifi (comme votre connexion wifi tether), ils le font en essayant de se connecter à un serveur Web connu sur Internet et en vérifiant s'ils obtenir la réponse qu'ils attendent. Si la réponse attendue n'est pas reçue, il est probable que la connexion wifi sur laquelle vous vous trouvez est un "portail captif" et peut nécessiter que vous vous connectiez ou payiez pour vous y connecter. Comme les systèmes d'exploitation Microsoft (comme Windows Vista et Windows 7 vérifient par défaut avec un serveur Microsoft et d'autres systèmes d'exploitation comme Android, MacOS et ainsi de suite, tous se connectent aux serveurs de leur société mère pour effectuer ces vérifications, il peut être utilisé comme une bonne indication du fonctionnement). système juste après la connexion initiale.

De plus, si un appareil contacte régulièrement les serveurs Windows Update, il est très probable qu'il soit un PC ou un ordinateur portable Windows, alors que s'il vérifie régulièrement avec les serveurs de mise à jour Android de Google, il s'agit probablement d'un téléphone. Ou s'ils peuvent voir que vous vous connectez à l'App Store d'Apple, mais que l' IMEI de l'appareil dans lequel se trouve votre carte SIM indique qu'il ne s'agit pas d'un appareil Apple, peut-être que vous attachez un iPad à un téléphone Android?

Des systèmes plus sophistiqués peuvent examiner toute une gamme de données pour voir avec qui vous communiquez (par exemple, vous connectez-vous aux serveurs API de l'application Facebook, qui sont plus susceptibles à partir d'un téléphone, ou aux serveurs Web de Facebook, qui sont plus susceptibles à partir d'un PC) et ajoutez une charge entière de ces indicateurs ensemble pour créer une empreinte digitale qui indique quel type d'appareil vous êtes susceptible d'utiliser. Certaines de ces empreintes digitales peuvent être détectées lorsque de nouveaux types d'appareils et de nouveaux services sortent, par exemple, selon certains rapports, juste après la sortie des tablettes avec 3G intégrée, certains propriétaires de ceux-ci sur le réseau AT&T ont reçu des e-mails les avertissant qu'ils attaché alors qu'ils ne l'avaient pas fait, car l'empreinte digitale de ce nouveau style d'appareil ne ressemblait pas à un téléphone typique.


(1) De toute évidence, avant d'essayer des méthodes pour contourner la détection du partage de connexion, n'oubliez pas de vérifier votre contrat de téléphone et les politiques de votre société de téléphonie sur le partage de connexion. Ils peuvent avoir des clauses de pénalité enfouies dans leur contrat, politique d'utilisation équitable ou politique d'utilisation acceptable pour les personnes qui tentent de contourner leurs restrictions et limites.

GAThrawn
la source
1
Réponse géniale! J'ai également contacté à nouveau Más Móvil, et cette fois, le représentant du service client a déclaré que tous les tarifs et options peuvent être utilisés avec le partage de connexion. J'ai donc réservé une très bonne offre et, oui, le partage de connexion avec mon téléphone Android 2.3 (via USB) fonctionne sans problème. Peut-être que la prochaine fois que je serai en France, j'essaierai de jouer avec le TTL, pour voir si cela me permet de contourner Orange.
feklee
5
merci pour la réponse très compétente et perspicace. je veux seulement m'opposer à la section d'inspection MAC. si vous utilisez votre téléphone comme un routeur (comme pour le raccordement de votre connexion Internet sortante), les adresses MAC de vos clients ne sont pas du tout transmises au fournisseur, selon la définition du routage IP. ils sont remplacés par le MAC du téléphone qui est ce que l'opérateur attend.
Je soupçonne que c'est ce qui se passe avec ma cellule. Depuis que j'ai "mis à niveau" vers 5.1, le partage de connexion avec tmo ne fonctionne pas. Même lorsque j'utilise https (qui masquerait l'agent utilisateur, c'est ainsi qu'ils le faisaient). Comment savoir si mon téléphone est en attente avec mon fournisseur?
Christian Bongiorno
6
Une note sur votre point d'adresse MAC: le partage de connexion est juste NAT (enfin, cela peut être aussi simple que cela). En tant que tel, un mappage interne (ip: port) <-> externa (ip: port) doit être géré par le périphérique NAT mais à part cela, la charge utile IP réelle est la seule chose nécessaire. En fait, si vous vous identifiez d'une manière ou d'une autre sur votre interface Internet par le MAC des périphériques captifs, il ne sera jamais acheminé. Je ne sais pas comment / pourquoi les périphériques internes MAC peuvent / devraient / devraient être exposés.
Christian Bongiorno
J'ai un plan familial avec attachement. Sortir la carte SIM de mon iPad (qui a le partage de connexion) et la placer dans un HTC enraciné a permis très bien le partage de connexion. Cependant, Android stock dit que je n'ai pas de connexion sur mon plan. Existe-t-il un moyen non root de contourner ce problème?
Drew
5

En réalité, les fournisseurs Internet de réseaux mobiles utilisent principalement l'inspection approfondie des packages avec les empreintes digitales URI pour détecter le partage de connexion. C'est la seule méthode qu'il est possible d'utiliser pour un fonctionnement à grande échelle. Ils peuvent utiliser des sites connus, par exemple le serveur de mise à jour Windows, pour détecter qu'il s'agit d'un appareil non téléphonique qui y accède. Ou pour HTTP, lisez l'agent utilisateur du navigateur Web pour détecter que le navigateur est destiné à une plate-forme non téléphonique.

Cela dit, ces méthodes ont des limites importantes.

  • Décalage temporel entre le début de l'utilisation et la détection peut prendre quelques minutes
  • La détection peut être neutralisée en utilisant le cryptage de l'utilisateur final
  • L'utilisation de toutes les techniques d'empreintes digitales possibles entraîne souvent le déclenchement de faux positifs

La réalité est donc que la détection de la connexion est un acte d'équilibrage du point de vue de l'opérateur. Ils n'implémentent généralement que suffisamment pour pouvoir bloquer les utilisateurs réguliers non-geek (qui constituent la majorité des utilisateurs mobiles). Le déploiement d'une détection plus stricte pour bloquer les utilisateurs avertis de la technologie ne vaut généralement pas la peine et peut se retourner contre vous en générant trop d'événements faux positifs. Tant qu'ils seront payés pour les données utilisées, ils regarderont dans l'autre sens.

Ils concentrent plutôt leurs efforts sur les pirates et bloquent les pertes de revenus dues aux exploits du réseau.

Mr Mega Byte
la source
2

La méthode la plus simple est l'inspection TTL. Si vous acheminez votre connexion vers le deuxième appareil (via un point d'accès Wi-Fi mobile ou de toute autre manière possible), les routeurs de la compagnie de téléphone remarqueront que certaines valeurs TTL sont différentes des autres lorsque les paquets les passent. Puisqu'il existe des tableaux de valeurs TTL initiales attendues disponibles pour de nombreux appareils (leurs systèmes d'exploitation, plus précisément), la compagnie de téléphone remarquera immédiatement que quelque chose ne va pas, car ils peuvent facilement calculer «à quelle distance» est la source du paquet. Cela ne nécessite pas d'inspection approfondie des paquets, car les valeurs TTL sont disponibles pour tous, dans tout type de paquet IP, et sont en fait MODIFIÉES par les routeurs (diminuées de 1 à chaque passage) lorsque le paquet est transmis à la destination. La solution de contournement est donc assez simple.

xmp125a
la source
Pourriez-vous relier certaines sources? BTW, +1 pour une réponse recherchée.
Tamoghna Chowdhury