Група дослідників із Північно-Східного та Нью-Йоркського університетів відкрила новий спосіб відстеження геопозиції людини. Вони пропонують аналізувати затримки при доставці SMS-повідомлень, оскільки такий метод забезпечує точність визначення країни, міста та району отримувача до 96%.
Для порівняння затримки та розташування використовувалася система машинного навчання, тренована на основі виміряних затримок для типових місць, обчислених щодо поточного розташування відправника. Зокрема, вона використовує дані про відправлення (CP-ACK) від опорної мережі та доставки (SMS-DR, Delivery Report) від оператора.
Метод цікавий тим, що не вимагає доступу на рівні інфраструктури оператора і може бути виконаний рядовим користувачем непомітно через відправлення тихих повідомлень, що не відображаються одержувачу. Атака проводиться в два етапи: хакер періодично відправляє серію SMS нульового типу (Silent SMS або SMS Type 0) та заміряє час отримання повідомлення про доставку та зіставляє їх. На другій стадії дані про затримки доставки накопичуються наосліп, а місце розташування обчислюється на основі побудованої моделі машинного навчання та розв’язання задачі поетапного прогнозування — спочатку визначається континент, потім країна і згодом регіон. Так, точність визначення одного з двох регіонів у Бельгії становила 86%, у Німеччині – 68%, Греції – 79%, а в ОАЕ – 76%.
Захиститись від такої атаки можна або на стороні оператора під час використання блокування повідомлень SMS-DR, або під час переведення служби SMS Home Routing у непрозорий режим, коли оператор одержувача передає відповідь про доставку повідомлення миттєво, незалежно від того, де знаходиться абонент.