Pouvoir suivre l'emplacement de votre cible est un objectif précieux pour les opérations d'espionnage. Imaginez la capacité d'un pays étranger à suivre l'emplacement exact de sa cible de surveillance sans avoir à surveiller physiquement ses mouvements.
Lorsqu'un message MAP anyTimeInterrogation est envoyé au HLR de l'abonné, il déclenche un message provideSubscriberInfo (PSI) qui est ensuite envoyé au VLR/MSC auquel l'abonné est connecté. Ce message renvoie l'identifiant de la cellule (Cell-ID) de l'abonné, entre autres informations. L'attaquant peut utiliser ce message pour obtenir l'identifiant de la cellule. L'identifiant cellulaire peut ensuite être mis en correspondance avec un emplacement réel, jusqu'au niveau de la rue, en utilisant des informations cartographiques accessibles au public.
Localisation - provideSubscriberInfo (PSI)
Si le message ATI a été filtré, l'attaquant peut toujours envoyer le message provideSubscriberInfo directement au MSC/VLR sur lequel se trouve l'abonné. L'attaquant devra d'abord trouver l'IMSI et l'adresse du MSC à l'aide d'un message comme sendRoutingInfoForSM qui renvoie l'adresse GT (Global Title) du MSC.
Suivi de la localisation - provideSubscriberLocation
Le message provideSubscriberLocation (PSL) est légitimement utilisé par le Gateway Mobile Location Center (GMLC) pour fournir la localisation d'un abonné. Le MSC n'a pas la capacité d'authentifier un serveur GMLC mais vérifie l'adresse GT de l'expéditeur. Malheureusement, l'attaquant peut toujours usurper l'adresse GMLC et l'utiliser pour envoyer le message PSL.