На многих маломощных сотовых телефонах браузерам приходится работать с сайтами не напрямую, а через прокси-серверы, переформатирующие содержимое страниц для показа на маленьком экране телефона. Подобные услуги предоставляет своим клиентам ряд операторов сотовой связи.
Аспирант из Берлинского технического университета изучил поведение нескольких таких сервисов, в том числе британского оператора Orange и канадского Rogers Wireless. О результатах исследования он рассказал на конференции CanSecWest в Ванкувере.
Как выяснилось, некоторые прокси-серверы переформатируют не только получаемые от сайтов данные, но и отправляемые на них клиентом. При этом к запросам может быть добавлен и идентификатор IMSI абонента, и номер счета, и, что хуже всего — номер сотового телефона. Зная номер телефона посетителя, владельцы сайтов могут узнать и его личность, и множество другой информации, подчеркнул автор. Номер телефона связан с владельцем намного теснее, чем адрес электронной почты.
Непонятно, зачем операторы добавляют в заголовки запросов эти сведения, но подобная практика вряд ли может быть оправдана, считает исследователь.