Опубликовано 06 июня 2022, 22:05
6 мин.

Все смартфоны ведут в ФСБ. Россиянам раскрыли опасности единой базы IMEI

ФСБ порекомендовала Минцифры разработать прототип централизованной базы IMEI-кодов мобильных устройств (об этом сообщили «Коммерсант» и РИА «Новости»). Таким образом можно связать любой смартфон с конкретным владельцем, а устройства, IMEI которых не внесён в базу, могут потерять доступ к российским сотовым сетям. С одной стороны, это может усложнить жизнь ворам, но с другой — грозит проблемами и рядовым россиянам. И отключение от сетей сотовых операторов в случае отсутствия смартфона в базе — не самое страшное из них. К чему ещё готовиться в случае реализации этой инициативы — «Секрет» спросил у экспертов.

Все смартфоны ведут в ФСБ. Россиянам раскрыли опасности единой базы IMEI
Что такое IMEI-код?

Код IMEI (International Mobile Equipment Identity, международный идентификатор мобильного оборудования) — уникальное 15-значное число, которое при изготовлении присваивается каждому мобильному устройству, работающему в сетях GSM, UMTS, LTE, 5G. Этот номер имеет каждый смартфон, планшет, мобильный модем.

По этому номеру можно получить информацию о конкретном устройстве. Например, первые 8 цифр код Type Allocation Code (TAC), который показывает конкретную модель устройства. Затем идут 6 цифр уникального серийного номера (SNR), который идентифицирует каждое устройство в рамках одного TAC. Наконец, последняя цифра — символ проверки Check Digit (CD). Бывают также 16-значные номера IMEI, в которых последние две цифры указывают на версию прошивки гаджета.

Номера IMEI предоставляет производителям устройств руководящая ассоциация мобильной связи GSMA. Это платная услуга, поэтому производители иногда экономят и тайно выпускают партии устройств с одинаковыми номерами IMEI.

Иногда у устройств параллельно может быть ещё один уникальный идентификационный номер — MEID. Он присваивается устройствам, которые могут работать в мобильных сетях стандарта CDMA.

Узнать свой IMEI может любой владелец смартфона. Для этого нужно открыть набор телефонного номера и ввести комбинацию *#06# — код появится на экране. IMEI также указывается на корпусе самого мобильного устройства, чаще всего на задней панели или под батареей, а также на коробке с мобильным устройством.

Так что если вы покупаете смартфон с рук — имеет смысл проверить, совпадает ли код на коробке с IMEI-номером гаджета.

Мобильные операторы «видят» номера IMEI, подключённые к их сети. Это позволяет отслеживать перемещение мобильного устройства. Именно эти данные запрашивает полиция у оператора связи, когда, например, ищет украденный смартфон или пропавшего ребёнка.

Для чего нужна база IMEI?

Идея создания такой базы обсуждается в российском правительстве с начала 2010-х годов. В разное время о ней говорили в МВД, Минкомсвязи (предшественник Минцифры) и члены Совета Федерации. Некоторые страны, например, Казахстан уже внедрили у себя такую практику.

Производители и продавцы устройств поддержали эту инициативу, указав, что она поможет бороться с воровством гаджетов. Технически у операторов всегда была возможность блокировать мобильные телефоны по IMEI: она включена в стандарт GSM. Но на практике из-за отсутствия единой международной процедуры занесения устройства в чёрный список прибегают к такой возможности редко.

Согласно правилам, по обращению владельца оператор обязан удалённо заблокировать украденный смартфон. Но владельцы устройств далеко не всегда бережно хранят чеки, коробки и гарантийные талоны на свои смартфоны, особенно когда срок гарантии истекает.

Между тем именно эти документы, помимо кода IMEI, обычно спрашивают операторы, прежде чем предпринимать какие-либо блокировки. Более того, процедуры занесения IMEI в чёрный список могут разниться в зависимости от компании.

Так что для того чтобы усложнить жизнь вору своего смартфона, пользователю придётся пройти через множество бюрократических процедур, предварительно выяснив их правильную последовательность у своего оператора. На этом этапе у многих опускаются руки. Да и далеко не все в принципе знают IMEI-коды своих устройств: если смартфон был единственным источником этой информации, возможность как-то найти его по IMEI стремится к нулю.

У такой базы есть и другие применения. В частности, её называют помощником в борьбе с серым импортом. Незаконно ввезённая в страну техника создаёт проблемы как для продавцов (вынужденных конкурировать с дискаунтерами, которые не платили налоги при растаможке), так и для операторов, если смартфон окажется несовместимым с их сетями. Единая база IMEI позволит просто отключить от российских сетей телефоны, не попавшие в эту базу.

У этого аргумента есть свои «но» — способов контроля серого импорта существует много, в том числе масштабный проект по маркировке товаров, не ограниченный одними смартфонами.

Наконец, ФСБ объясняет необходимость этой базы желанием «повысить эффективность проведения оперативно-разыскных мероприятий», а также необходимостью «пресекать противоправные действия с использованием мобильных телефонов».

По словам гендиректора Telecom Daily Дениса Кускова, силовики заинтересованы ассоциировать телефон и сим-карту с его владельцем, однако «сим-карты до сих пор можно приобрести с рук без паспорта».

Все смартфоны ведут в ФСБ. Россиянам раскрыли опасности единой базы IMEI

Какие опасности несёт создание такой базы?

Несмотря на то что создание базы IMEI облегчит борьбу с воровством телефонов, которое может выйти на новый уровень из-за запрета на поставки в Россию многих зарубежных брендов, есть у этой инициативы и свои недостатки.

Сложно — не значит невозможно

В представлении некоторых блокировка телефона по IMEI превращает устройство в «кирпич». Способы совершить такое чудесное преображение и правда существуют: вирусы, поломки, неудачные попытки перепрошивки или переустановки операционной системы.

Если же заблокировать по IMEI, устройство перестаёт работать на совершение вызовов через любые SIM-карты на территории страны. Но при этом остальные функции телефона не блокируются, а в случае, если его вывезут в другую страну, где нет единой базы IMEI, телефон продолжит работать как нормальный аппарат. Так что в международном масштабе этот защитный механизм пока так и не заработал.

Кроме того, с помощью специального программного обеспечения можно перепрошить смартфон, после чего пользоваться им как совершенно новым устройством с другим IMEI.

Евгения Мешкова
член Ассоциации юристов России, эксперт по информационной безопасности

Если IMEI рассматривать как способ борьбы с нелегальным мобильным оборудованием, то он имеет больше рисков, минусов, чем плюсов. Во-первых, IMEI не всегда является уникальным идентификатором, во-вторых, существует техническая возможность его «перебить», «перепрошить», что означает дополнительные риски в увеличении оборота нелегальных мобильных устройств.

Самое главное, что перепрошивка IMEI на мобильных устройствах создаст технические нюансы в идентификации «чистых» мобильных устройств. А следовательно, трудности в обеспечении безопасности добросовестных приобретателей, дополнительные трудности в работе правоохранительных органов.


Проблемы для пользователей

Создание единой базы IMEI облегчит жизнь россиянам, которые приобретают смартфоны в российских магазинах. Но если они покупают устройство где-нибудь в заграничной поездке, то при пересечении границы оно идентифицируется как IMEI, не внесённый в базу. Это грозит риском блокировки со стороны мобильных операторов.

Евгения Мешкова
член ассоциации юристов России, эксперт по информационной безопасности

В случае, когда мобильное устройство приобретено российским пользователем за рубежом, не понятен механизм попадания данного устройства в российскую базу IMEI.

Правовой механизм регистрации пользователем приобретённого устройства самостоятельно в российской базе IMEI не нарушает, но ограничивает права пользователей в том смысле, что пользователи, приобретающие мобильное устройство за рубежом, будут иметь неравный правовой статус с пользователями, которые приобрели подобные устройства на территории Российской Федерации, например, в магазинах у операторов связи.

Если обязанность вносить сведения в российскую базу IMEI возложить на операторов, они получат дополнительные экономические издержки. А это может вызвать повышение стоимости услуг связи.


Пока не понятно, не повлечёт ли массовых отказов в обслуживании идея разрешать пользоваться российскими сетями связи только IMEI, зарегистрированными в базе.

Эксперты предположили, что россиян и импортёров могут заставить самостоятельно (и, возможно, платно) регистрироваться в этой базе. Но определённые технические проблемы прогнозируют уже сейчас.

Виктор Чебышевч
эксперт по мобильным угрозам «Лаборатории Касперского»

В целом номер IMEI не является чем-то труднодоступным, номера можно перебрать простой программой. У каждого изготовителя есть свой пул таких номеров, и всё это уже давно известно. Злоумышленники, имея базу утёкших номеров IMEI, теоретически смогут создавать дубли устройств с существующими и используемыми номерами IMEI, после чего сотовый оператор будет блокировать устройства с одним и тем же IMEI. В результате можно влиять на работу мобильных устройств и лишать связи абонентов.


Кладезь данных для преступников

Как и любая база данных, база IMEI-номеров потребует серьёзной защиты. Особенно если спецслужбы будут соотносить конкретные IMEI с их владельцами.

Вадим Мисбах-Соловьев
технический эксперт Роскомсвободы

Создать такую базу не сложнее, чем любую другую базу данных. Я не знаю, как именно они будут её делать, но, по логике, в минимальном виде достаточно двух полей: самого IMEI и некоего идентификатора, через который можно было бы связать его с конкретным человеком через запись в другой базе данных. Как вариант — вместо идентификатора может быть и поле с паспортными данными, ФИО или любой другой информацией.

В основном создание этой базы грозит тем, что будет в случае её утечки. Любой получивший к ней доступ сможет подставить любого указанного в базе человека под обвинение в чём угодно — от шпионажа до терроризма. Практически любое устройство имеет возможность подмены этого кода в том или ином виде.


Эксперт отметил, что технология GSM разрабатывалась в то время, когда задачи по отслеживанию людей не было. «Технических специалистов было меньше и все они, как правило, работали или на военных или на крупные корпорации. Поэтому к безопасности в те времена относились совершенно по-другому. И с точки зрения «кто-то сможет подменить код-идентификатор-аппарата» тогда даже и не смотрели. О IMEI думали просто как о хотя бы на сколько-нибудь уникальном идентификаторе, чтобы базовая станция могла отличать друг от друга аппараты, находящиеся в зоне её покрытия. Никто не думал использовать их для привязки к конкретным людям», — рассказал Мисбах-Соловьев.

Он предположил, что цель этого законопроекта отличается от той, которая декларируется, и не имеет ничего общего с защитой владельцев смартфонов.

Коллаж: «Секрет фирмы», Unsplash, depositphotos.com