Heeft het nut om IMEI’s van gestolen telefoons te blokkeren?

| AE 4567 | Security | 27 reacties

change-imei.jpgKPN, Vodafone en T-Mobile gaan vanaf volgend jaar op verzoek van de politie gestolen telefoons mogelijk onbruikbaar maken, las ik bij Tweakers. Elke telefoon heeft een zogeheten International Mobile Equipment Identity of IMEI nummer, dat meegestuurd wordt naar het netwerk als je je aanmeldt of wilt bellen. Door dit nummer bij de telefonieprovider te checken tegen een zwarte lijst, kun je dus verhinderen dat gestolen telefoons nog gebruikt worden. Dat zou diefstal toch af moeten schrikken. Nou ja, in theorie dan.

Een dergelijk systeem werkt natuurlijk alleen als de IMEI van een telefoon niet wijzigt. In Engeland, waar deze antidiefstalaanpak is uitgevonden, is het dan ook expliciet strafbaar gesteld om de IMEI te wijzigen (Section 1 van de Mobile Telephones (Re-programming) Act 2002), want als het strafbaar is dan doet een crimineel dat niet. Ahem.

In Nederland hebben we zo’n regel niet, en het lijkt er ook niet op dat deze er gaat komen. In 2011 werd nog in antwoord op Kamervragen gemeld dat dit niet zinnig leek, omdat IMEI nummers eenvoudig te wijzigen zijn, zelfs voor domme mobieltjesdieven. Om dezelfde reden is de politie gestopt met sms-bommen sturen (elke drie minuten een sms met “Deze telefoon is gestolen”) naar gestolen telefoons.

De enige echte optie om dit werkbaar te krijgen lijkt me om de IMEI verplicht hardcoded in de telefoon vast te leggen, zodat ze niet meer te wijzigen zijn. Ik heb eigenlijk geen idee waaróm een IMEI wijzigbaar zou moeten zijn. Jullie wel?

(Oh, en natuurlijk moet de IMEI-blokkade Europabreed uitgerold zodat je ook in Finland of Roemenië niet kunt bellen met een gestolen telefoon.)

Arnoud

Deel dit artikel

  1. De enige echte optie om dit werkbaar te krijgen lijkt me om de IMEI verplicht hardcoded in de telefoon vast te leggen, zodat ze niet meer te wijzigen zijn.
    Dan nog: die IMEI wordt weer uitgelezen door de firmware, en die kan altijd weer iets anders ervan maken – vergelijkbaar met alle mogelijkheden die er zijn om bij ethernetadapters het MAC address te spoofen.

  2. Volgens mij bevat een IMEI nummer informatie over land van herkomst en merk en type van de telefoon. Maar goed, Wikipedia, he? 😉 Dat het gewijzigd kan hebben zal zeker ook een legaal doel kunnen doenen, maar kan ze zo niet snel bedenken. Wel besef ik dat iemand niet zomaar een willekeurig nummer kan invoeren omdat dan opeens b.v. de fabrikant anders is of de landcode opeens naar Singapore verwijst in plaats van Nederland. Een vervalst IMEI nummer kan mogelijk bij inspectie van de telefoon worden ontdekt. Maar ja, de dief kan er wel mee blijven bellen…

    Handiger zou het zijn dat men bij een gestolen telefoon een signaal verstuurt die de betreffende telefoon keihard uitschakelt, waarbij deze blokkade pas ongedaan kan worden via een complexe procedure. De dief kan dan ook niet meer de IMEI aanpassen want het toestel kan niet meer aan. Maar ja, dat werkt alleen zolang de dief niet als eerste de IMEI heeft aangepast. Gewoon bricken, die hap! Mag best wel moeite kosten om dat weer ongedaan te maken.

  3. @Wim ten Brink — remote bricken vraagt om denial-of-service aanvallen. Dat kan wel, maar dan zou er juist een makkelijke procedure moeten komen om dat ongedaan te maken.

    De vraag is wat handiger is: remote bricken regelen via de politie en providers, zoals genoemd in dit voorstel op Tweaker. Of remote bricken via een eigen account bij Google of Apple. Niet dat dat vlekkeloos werkt (zie het verhaal van Mat Honan, maar waarschijnlijk makkelijker te implementeren en minder problematisch. Wat ik niet weet in hoeverre dit soort services (zoals Apple “Find my device”) alleen de data wissen, of ook de telefoon bricken.

    Aardige vraag voor Arnoud — in hoeverre zijn de providers van allerlei “bricking” tools, zoals Apple en de politie verantwoordelijk indien een device ten onrichte gebrickt wordt? Als Mat Honan bijvoorbeeld in Nederland had gewoond, had hij dan Apple aansprakelijk kunnen stellen?

  4. Het ligt allemaal wat complexer en elke oplossing kost geld, wie gaat dat betalen? In de regel is dat de gebruiker. Die moet dan de meerwaarde ervan inzien anders gaat ie niet betalen voor iets wat elders gratis is.

    Als je bijvoorbeeld een IMEI gaat koppelen aan een gebruiker, dan is de koper van een 2e handstoestel wellicht de sjaak als de verkoper de ontkoppeling niet uitvoert. Stel je telefoon gaat stuk en je wilt snel een ander toestel gaan gebruiken. Of er moet een standaard komen tussen providers en landen hoe de procedure werkt, et cetera.

    Ik denk dus niet dat er snel een verandering gaat plaatsvinden.

  5. Samsung Android telefoons hebben een versleuteld bestand met daarin het imei nummer. Zonder dit bestandje werkt de telefoon niet (iig niet met standaard Samsung firmware) Ik heb mij laten vertellen dat het zo werkt: De telefoon gaat het netwerk niet op als het versleutelde bestand niet overeenkomt met het onversleutelde en alleen samsung heeft de private key voor de versleuteling. Het wijzigen van de IMEI moet dan dus met custom roms samengaan. En zelfs daar levert het problemen op. In feite kan je dit alleen omzeilen door een bekende telefoon te klonen (zowel onversleuteld als versleuteld bestand van een andere telefoon gebruiken. Alleen als je ziet dat een telefoon gekloond voorkomt blokkeerd je die en laat je Samsung gratis het nummer wijzigen van degene die een aankoop bon kan overleggen.

  6. Ik zal tegenwoordig wel de enige zijn, maar ik heb liever helemaal geen identificatienummers in mijn telefoon. Natuurlijk is een telefoonnummer ook een identificatienummer, maar je moet toch gewoon van identiteit kunnen wisselen door de SIM-kaart te swappen? Of gewoon een telefoon kopen, verkopen of ruilen zonder dat de één of andere autoriteit daar iets over te zeggen heeft? Als er dan toch zo nodig een IMEI-nummer in moet zitten, dan wil ik wel graag de mogelijkheid hebben om die regelmatig te vervangen door een nieuw willekeurig gekozen nummer.

    Beveiliging tegen diefstal doe ik graag op de ouderwetse manier, op de zelfde manier als ik mijn portemonnee beveilig (waar nog echt contant geld in zit). Nou moet ik wel toegeven dat ik bijna nooit mobiel bel, dus ik heb praktisch nooit op straat een dure smartphone aan mijn oor. Maar ook daar is toch wel iets voor te verzinnen? Iets als een smartphone-houder die stevig aan je kleding vast zit, plus een handsfree-set, of zo?

    Weet iemand trouwens een goede website die uitlegt hoe je dat IMEI-nummer verandert in diverse telefoons?

    • het land van herkomst zit er al sinds 2003 niet meer in verwerkt;
    • Arnoud, waar haal jij vandaan dat het gebruik van de IMEI als antidiefstalmechanisme een Britse uitvinding is? De IMEI is vanaf het begin van de GSM standaard primair bedoeld als antidiefstalmechanisme* en GSM is een Franse uitvinding… Wel is het zo dat de Britten dat verbod op wijzigen hebben bedacht.

    *) ETS 300508 hfd 2:“The main objective is to be able to take measures against the use of stolen equipment”

  7. @Richard #11 “basically heel West-Europa behalve Nederland … zit wel snor”: dat klopt niet echt:

    1. Roemenië staat er dus niet tussen, net als veel andere Oost-Europese landen.
    2. Luxemburg, Zwitserland, Oostenrijk en IJsland zijn West-Europese landen, en die staan er ook niet tussen
    3. De lijst staat beschreven als “there are over 40 operators connected to the IMEI DB from the following countries”. Dus het kan heel goed zijn dat er in deze landen ook operators zijn die niet verbonden zijn met de IMEI DB. Daarnaast zie ik niet zo snel in de tekst staan dat “verbonden met de database” ook betekent “past de blokkade toe”.
  8. @Corné, ik zei daarom ook ‘basically’. En ja, er is altijd een land te vinden waar je dan toch heen kan met die gestolen telefoon. Ik probeerde aan te geven dat deze IMEI-blokkades al dagelijkse praktijk zijn in een groot aantal landen om ons heen, en niet iets wat alleen in de UK wordt toegepast, zoals de blogpost deed voorkomen.

    @BertBert http://www.tctubantia.nl/regio/middentwente/10658226/Frustratie-na-%26lsquo%3Bvondst%26rsquo%3B-gestolen-iPad.ece Van opsporen naar arresteren gaat moeilijk. Daarnaast is het sowieso niet “handiger” wanneer je handig definieert in termen van efficientie. Een automatische remote blokkade kost aanzienlijk minder moeite dan iemand opsporen, arresteren, vervolgen en straffen.

  9. Is het niet handiger om het IMEI nummer te gebruiken om de gestolen telefoon op te sporen en de dief/heler te arresteren?
    Je zou denken van wel, maar de locatie bepalen is nog niet zo eenvoudig. Als je de locatie op 10 meter nauwkeurig kunt bepalen dan is het nog erg lastig om die telefoon te vinden tijdens, b.v., een druk concert waarbij duizenden personen bij elkaar staan. Je zou de telefoon dan eerst een tijdje moeten volgen tot je deze data aan een bepaald persoon kunt verbinden. Dan heb je een verdachte die je kunt ondervragen en wiens spullen je kunt doorzoeken. Maar op een drukke markt even iedereen fouilleren omdat je een gestolen telefoon zoekt is een te zware schending. Wat je wel ook zou kunnen proberen is b.v. de camera van de telefoon activeren om zo de omgeving te filmen. Dan krijg je mogelijk de verdachte in beeld en kun je dus wel via de locatie de telefoon terugvinden. Je weet immers wie je moet zoeken. Maar dat is wel extra dataverkeer dat je verborgen moet houden voor de dief, die er ook eigenlijk niets van mag merken, anders zet hij het toestel uit, ramt hij hem kapot met een baksteen en gooit hij de rest in de vuilcontainer en is er niets meer te vinden.

    Maar je moet ook altijd rekening houden met privacy. Indien je een gestolen telefoon kunt besturen van een afstand om zo de camera te benaderen, dan kan dat ook met een telefoon die niet is gestolen. Handig om iemand’s privacy mee om zeep te helpen. Hackers hebben sowieso al vaak genoeg om zo b.v. de webcams van laptops te kunnen activeren, in de hoop dat de eigenaar een aantrekkelijke blondine is die zich regelmatig uitkleedt voor haar laptop, zodat ze “interessante beelden” kunnen verzamelen. (Maar ook om b.v. mee te kijken met de toets-aanslagen voor als de eigenaar een wachtwoord intypt of om te kijken of er iets interessants te stelen valt, naast de laptop zelf.) Kortom, dergelijke maatregelen vormen risico’s van misbruik… Sowieso al vervelend dat ze mij via mijn IMEI nummer al overal kunnen volgen, doordat mijn telefoon zich bij iedere antenne aanmeldt. Maar zo werkt het systeem nu eenmaal…

  10. Ik heb eigenlijk geen idee waaróm een IMEI wijzigbaar zou moeten zijn.

    Ik heb eigenlijk geen idee waaróm een IMEI uberhaupt meegestuurd moet worden! Het is niet nodig én vormt privacy bezwaar. Want de provider hoeft het niet te weten wanneer ik een nieuw mobieltje heb gekocht.

    Of mis ik iets elementairs in m’n kennis over GSM?

  11. @Wim: Mijn internet-provider zou ook graag willen weten welk model laptop ik gebruik. Maar dat gaat hem echt niets aan. Het enige wat hij hoeft te weten is het MAC adres van mijn inbelmodem/router. (En dus niet eens van mijn laptop.)

    Echt, wat is het nut voor de gebruiker van je IMEI aan de provider doorgeven!?

  12. @Wim 18 het IMEI nummer bevat al 10 jaar lang niet meer het land waar het toestel vandaan komt.

    @NL-X, je gebruikt protocollagen in een voorbeeld waar dat niet terzake doet. Een mobiele website krijgt ook niet het IMEI-nummer door. Maar een website krijgt wel tot in vrij groot detail de specificatie van de webbrowser door, middels de User-Agent header. En een switch in je netwerk krijgt wel het MAC adres door, en in mijn (bedrijfs)netwerk gebruiken we dat ook om ongewenste clients te weren. Voorbeelden genoeg van het tegendeel.

    Echt, wat is het nut voor de gebruiker van je IMEI aan de provider doorgeven!?

    Zoals reeds vermeld, het primaire doel van een IMEI is het blokkeren van gestolen toestellen (#9). Het secundaire doel is de provider inzicht te verschaffen in device-types die in het netwerk zijn om zo diensten te kunnen afstemmen (#18).

  13. @Richard, het IMEI bevat geen exacte lijst van landcodes maar verwijst naar de organisatie die een bepaald mobiel apparaat heeft goedgekeurd voor de markt. En die organisaties zitten weer in een bepaald land. (Engeland, Frankrijk, Duitsland, USA, Denemarken, China, India en mogelijk meer.) Je kunt hier een overzicht vinden van die organisaties.

  14. @Richard 20: ik had het niet over websites maar over mobiele telefonie aanbieders. Zij HOEVEN NIET jouw IMEI te hebben om hun werk (mobiele telefonie aanbieden) te doen.

    Net zoals je internetprovider NIET het MAC-adres van jouw laptop nodig heeft om zijn werk (internet aanbieden) te doen. Die krijgt hij dan ook niet. De internetprovider heeft daarentegen WEL het MAC adres nodig van jouw inbelmodem/router om zijn werk te doen; dus alleen die krijgt hij.

    Uiteindelijk zijn dit de doelen van de IMEI meesturen, als je het mij vraagt: – Jouw mobieltje blokkeren: 22 jaar na de uitvinding van GSM nog NIET gebruikt in Nederland een de meeste andere landen. Dus geen doel. – Diensten afstemmen: totaal niet van belang voor het functioneren van GSM en enkel voor het gewin van de aanbieder. – Tada: providers en overheden kunnen je blijven volgen, zelfs al verander je van SIM.

    Ik hoop maar niet dat er wetten komen die je verbieden om bijvoorbeeld je IP-adres te veranderen of verbergen dmv proxies.

  15. Het IMEI nummer heeft eigenlijk hetzelfde effect als het graveren van je postcode in je fiets of je kenteken-nummer in je autoraam. Het is een anti-diefstal maatregel en zou dan ook als zodanig gebruikt moeten worden. Ik hoor overigens niemand klagen over het feit dat de postcode op hun fiets te herleiden is naar de straat waar de eigenaar ervan woont. 🙂 En het bezwaar van de kenteken-nummers vind ik dat je dan geregeld een extra “heffing” kunt ontvangen als je weer eens 130 hebt gereden waar maar 120 mocht. Je kunt het ook vergelijken met de serienummers op papiergeld. Als je een groot bedrag aan contant geld in huis hebt dan kun je de serienummers van ieder biljet bijhouden, hoor het geval ze gejat worden. Je kunt dan de lijst van serienummers overhandigen en indien ergens bij een bank die biljetten worden geregistreerd dan weet men waar het gestolen geld terecht is gekomen en kan men van daaruit terugzoeken naar de dader. Geld kan zo b.v. bij een ontvoering waarbij losgeld wordt betaald later weer worden getraceerd.

    Maar zoals nl-x al zegt, als het daar niet voor wordt gebruikt dan is het net zo nuttig als een zonnebril voor een blinde. Estetisch leuk, maar zonder functie.

    • alleen heb ik met mijn eigen toestel onlangs mijn IMEI verandert niet met opzet maar het is toch gebeurt.

      had custom firmware op mijn tel gezet maar daar moest ik de boot-loader voor unlocken. in dit proces om de bootloader terug te zetten naar een versie die wel custom firmware kon laden heb ik het serie nr en het IMEI nr verandert van de tel.

      hier kwam ik achter nadat mijn tel naar fabrikant ging voor reparatie.

      IMEI is dus niet heel erg betrouwbaar

  16. Wat kan de politie allemaal doen als ze je IMEI nummer hebben gevraagd van de telefoon die je gebruikt? Moet ik denken aan: Afluisteren? Traceren op locatie? In mijn telefoon kijken wat en wie ik heb aan contacten?

    Even voor de duidelijkheid.. ik ben getuige in een zaak en nu vragen ze mij om mijn IMEI nummer en hebben ze een huiszoeking bij mij gedaan? is dit niet een beetje vreemd als ik notabene getuige ben voor ze? Is dit normaal gezien de privacywetgeving? heeft iemand hier een idee over?

    want ik denk er nu sterk aan om mijn telefoon te verkopen, niet omdat ik strafbaar ben maar meer omdat ik het idee zeer vervelend vind dat mensen meeluisteren met mijn gesprekken.

    Ik ben benieuwd of iemand hier een idee over heeft..

  17. kan ik via de imei de rechtmatige eigenaar traceren? het nummer wat er in staat om te bellen als je de tel gevonden hebt is niet in gebruik en bestaat niet. ik wil graag zelf de tel aan eigenaar teruggeven , andere optie is dat ik hem naar de politie breng,, maar ik betwijfel of die zich de moeite doen om hem bij de rechtmatige eigenaar terug te bezorgen. Tel is gevonden in het buitenland maar is gezien het nummer waarschijnlijk van een ned vakantieganger

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS