Все смартфоны ведут в ФСБ. Россиянам раскрыли опасности единой базы IMEI
ФСБ порекомендовала Минцифры разработать прототип централизованной базы IMEI-кодов мобильных устройств (об этом сообщили «Коммерсант» и РИА «Новости»). Таким образом можно связать любой смартфон с конкретным владельцем, а устройства, IMEI которых не внесён в базу, могут потерять доступ к российским сотовым сетям. С одной стороны, это может усложнить жизнь ворам, но с другой — грозит проблемами и рядовым россиянам. И отключение от сетей сотовых операторов в случае отсутствия смартфона в базе — не самое страшное из них. К чему ещё готовиться в случае реализации этой инициативы — «Секрет» спросил у экспертов.
Код IMEI (International Mobile Equipment Identity, международный идентификатор мобильного оборудования) — уникальное 15-значное число, которое при изготовлении присваивается каждому мобильному устройству, работающему в сетях GSM, UMTS, LTE, 5G. Этот номер имеет каждый смартфон, планшет, мобильный модем.
По этому номеру можно получить информацию о конкретном устройстве. Например, первые 8 цифр код Type Allocation Code (TAC), который показывает конкретную модель устройства. Затем идут 6 цифр уникального серийного номера (SNR), который идентифицирует каждое устройство в рамках одного TAC. Наконец, последняя цифра — символ проверки Check Digit (CD). Бывают также 16-значные номера IMEI, в которых последние две цифры указывают на версию прошивки гаджета.
Номера IMEI предоставляет производителям устройств руководящая ассоциация мобильной связи GSMA. Это платная услуга, поэтому производители иногда экономят и тайно выпускают партии устройств с одинаковыми номерами IMEI.
Иногда у устройств параллельно может быть ещё один уникальный идентификационный номер — MEID. Он присваивается устройствам, которые могут работать в мобильных сетях стандарта CDMA.
Узнать свой IMEI может любой владелец смартфона. Для этого нужно открыть набор телефонного номера и ввести комбинацию *#06# — код появится на экране. IMEI также указывается на корпусе самого мобильного устройства, чаще всего на задней панели или под батареей, а также на коробке с мобильным устройством.
Так что если вы покупаете смартфон с рук — имеет смысл проверить, совпадает ли код на коробке с IMEI-номером гаджета.
Мобильные операторы «видят» номера IMEI, подключённые к их сети. Это позволяет отслеживать перемещение мобильного устройства. Именно эти данные запрашивает полиция у оператора связи, когда, например, ищет украденный смартфон или пропавшего ребёнка.
Для чего нужна база IMEI?
Идея создания такой базы обсуждается в российском правительстве с начала 2010-х годов. В разное время о ней говорили в МВД, Минкомсвязи (предшественник Минцифры) и члены Совета Федерации. Некоторые страны, например, Казахстан уже внедрили у себя такую практику.
Производители и продавцы устройств поддержали эту инициативу, указав, что она поможет бороться с воровством гаджетов. Технически у операторов всегда была возможность блокировать мобильные телефоны по IMEI: она включена в стандарт GSM. Но на практике из-за отсутствия единой международной процедуры занесения устройства в чёрный список прибегают к такой возможности редко.
Согласно правилам, по обращению владельца оператор обязан удалённо заблокировать украденный смартфон. Но владельцы устройств далеко не всегда бережно хранят чеки, коробки и гарантийные талоны на свои смартфоны, особенно когда срок гарантии истекает.
Между тем именно эти документы, помимо кода IMEI, обычно спрашивают операторы, прежде чем предпринимать какие-либо блокировки. Более того, процедуры занесения IMEI в чёрный список могут разниться в зависимости от компании.
Так что для того чтобы усложнить жизнь вору своего смартфона, пользователю придётся пройти через множество бюрократических процедур, предварительно выяснив их правильную последовательность у своего оператора. На этом этапе у многих опускаются руки. Да и далеко не все в принципе знают IMEI-коды своих устройств: если смартфон был единственным источником этой информации, возможность как-то найти его по IMEI стремится к нулю.
У такой базы есть и другие применения. В частности, её называют помощником в борьбе с серым импортом. Незаконно ввезённая в страну техника создаёт проблемы как для продавцов (вынужденных конкурировать с дискаунтерами, которые не платили налоги при растаможке), так и для операторов, если смартфон окажется несовместимым с их сетями. Единая база IMEI позволит просто отключить от российских сетей телефоны, не попавшие в эту базу.
У этого аргумента есть свои «но» — способов контроля серого импорта существует много, в том числе масштабный проект по маркировке товаров, не ограниченный одними смартфонами.
Наконец, ФСБ объясняет необходимость этой базы желанием «повысить эффективность проведения оперативно-разыскных мероприятий», а также необходимостью «пресекать противоправные действия с использованием мобильных телефонов».
По словам гендиректора Telecom Daily Дениса Кускова, силовики заинтересованы ассоциировать телефон и сим-карту с его владельцем, однако «сим-карты до сих пор можно приобрести с рук без паспорта».
Какие опасности несёт создание такой базы?
Несмотря на то что создание базы IMEI облегчит борьбу с воровством телефонов, которое может выйти на новый уровень из-за запрета на поставки в Россию многих зарубежных брендов, есть у этой инициативы и свои недостатки.
Сложно — не значит невозможно
В представлении некоторых блокировка телефона по IMEI превращает устройство в «кирпич». Способы совершить такое чудесное преображение и правда существуют: вирусы, поломки, неудачные попытки перепрошивки или переустановки операционной системы.
Если же заблокировать по IMEI, устройство перестаёт работать на совершение вызовов через любые SIM-карты на территории страны. Но при этом остальные функции телефона не блокируются, а в случае, если его вывезут в другую страну, где нет единой базы IMEI, телефон продолжит работать как нормальный аппарат. Так что в международном масштабе этот защитный механизм пока так и не заработал.
Кроме того, с помощью специального программного обеспечения можно перепрошить смартфон, после чего пользоваться им как совершенно новым устройством с другим IMEI.
Если IMEI рассматривать как способ борьбы с нелегальным мобильным оборудованием, то он имеет больше рисков, минусов, чем плюсов. Во-первых, IMEI не всегда является уникальным идентификатором, во-вторых, существует техническая возможность его «перебить», «перепрошить», что означает дополнительные риски в увеличении оборота нелегальных мобильных устройств.
Самое главное, что перепрошивка IMEI на мобильных устройствах создаст технические нюансы в идентификации «чистых» мобильных устройств. А следовательно, трудности в обеспечении безопасности добросовестных приобретателей, дополнительные трудности в работе правоохранительных органов.
Проблемы для пользователей
Создание единой базы IMEI облегчит жизнь россиянам, которые приобретают смартфоны в российских магазинах. Но если они покупают устройство где-нибудь в заграничной поездке, то при пересечении границы оно идентифицируется как IMEI, не внесённый в базу. Это грозит риском блокировки со стороны мобильных операторов.
В случае, когда мобильное устройство приобретено российским пользователем за рубежом, не понятен механизм попадания данного устройства в российскую базу IMEI.
Правовой механизм регистрации пользователем приобретённого устройства самостоятельно в российской базе IMEI не нарушает, но ограничивает права пользователей в том смысле, что пользователи, приобретающие мобильное устройство за рубежом, будут иметь неравный правовой статус с пользователями, которые приобрели подобные устройства на территории Российской Федерации, например, в магазинах у операторов связи.
Если обязанность вносить сведения в российскую базу IMEI возложить на операторов, они получат дополнительные экономические издержки. А это может вызвать повышение стоимости услуг связи.
Пока не понятно, не повлечёт ли массовых отказов в обслуживании идея разрешать пользоваться российскими сетями связи только IMEI, зарегистрированными в базе.
Эксперты предположили, что россиян и импортёров могут заставить самостоятельно (и, возможно, платно) регистрироваться в этой базе. Но определённые технические проблемы прогнозируют уже сейчас.
В целом номер IMEI не является чем-то труднодоступным, номера можно перебрать простой программой. У каждого изготовителя есть свой пул таких номеров, и всё это уже давно известно. Злоумышленники, имея базу утёкших номеров IMEI, теоретически смогут создавать дубли устройств с существующими и используемыми номерами IMEI, после чего сотовый оператор будет блокировать устройства с одним и тем же IMEI. В результате можно влиять на работу мобильных устройств и лишать связи абонентов.
Кладезь данных для преступников
Как и любая база данных, база IMEI-номеров потребует серьёзной защиты. Особенно если спецслужбы будут соотносить конкретные IMEI с их владельцами.
Создать такую базу не сложнее, чем любую другую базу данных. Я не знаю, как именно они будут её делать, но, по логике, в минимальном виде достаточно двух полей: самого IMEI и некоего идентификатора, через который можно было бы связать его с конкретным человеком через запись в другой базе данных. Как вариант — вместо идентификатора может быть и поле с паспортными данными, ФИО или любой другой информацией.
В основном создание этой базы грозит тем, что будет в случае её утечки. Любой получивший к ней доступ сможет подставить любого указанного в базе человека под обвинение в чём угодно — от шпионажа до терроризма. Практически любое устройство имеет возможность подмены этого кода в том или ином виде.
Эксперт отметил, что технология GSM разрабатывалась в то время, когда задачи по отслеживанию людей не было. «Технических специалистов было меньше и все они, как правило, работали или на военных или на крупные корпорации. Поэтому к безопасности в те времена относились совершенно по-другому. И с точки зрения «кто-то сможет подменить код-идентификатор-аппарата» тогда даже и не смотрели. О IMEI думали просто как о хотя бы на сколько-нибудь уникальном идентификаторе, чтобы базовая станция могла отличать друг от друга аппараты, находящиеся в зоне её покрытия. Никто не думал использовать их для привязки к конкретным людям», — рассказал Мисбах-Соловьев.
Он предположил, что цель этого законопроекта отличается от той, которая декларируется, и не имеет ничего общего с защитой владельцев смартфонов.
Коллаж: «Секрет фирмы», Unsplash, depositphotos.com