Personal: Grave Problema De Seguridad (Número De Teléfono Visible Para Todas Las Páginas)

Les quiero poner al tanto de un grave problema de seguridad que existe al conectarnos a internet desde el MM2, en particular cuando usamos la red 3G de Telecom Personal (sea GPRS / EDGE o 3G / HSPA). Puede ser que ocurra en otros modelos, hasta ahora sólo lo pude verificar en tres Milestone 2 con la ROM de serie de Personal.


Básicamente, cada vez que usamos el navegador por defecto NUESTRO NÚMERO DE CELULAR queda visible para todas las páginas que visitamos. Puede que suene al típico hoax que se ve en internet pero, tristemente, es cierto en este caso. Lo comprobé personalmente cuando, tras visitar por error un enlace publicitario, me llegó inmediatamente un SMS del 2112 diciéndome que me había suscrito y me enviarían un mensaje por día al coste de $1,25. ¿Casualidad? No.

Explicación técnica
Cada vez que visitamos un sitio en internet, nuestro navegador envía una serie de información como parte del 'Request', como por ejemplo la versión de nuestro navegador, limitada información geográfica, dominio, ISP, lenguaje, zona horaria, etc etc. Todo esto se envía como parte del Request HTTP en lo que se llaman HTTP Headers, que es información que compartimos con los sitios web generalmente para facilitar la navegación (por ejemplo, las páginas pueden detectar que tenemos un Android y renderizar las páginas para que se vean correctamente en nuestro dispositivo).

Resulta que Telecom Personal, por oscuras razones, agrega ciertos HTTP Headers adicionales tras pasar por un 'Proxy' que por lo visto usna para la navegación Web 3G. Sabrán lo del proxy si alguna vez vieron errores del tipo "The Request Failed", con un link a la Home de Personal. O un error que dice algo del "Radius Server". Bien, entre esas Headers que se agregan, encontramos esta:

HTTP_X_MSISDN -> Acá va nuestro celular, en formato 5411XXXXXXXX.

Cualquier página interesada en ese dato, no tiene más que consultar el valor de este campo y ya tienen el número de celular de quien está visitando la página. Imaginen que estafas servicios como el del 2112 están encantados con esta "funcionalidad".

Cabe aclarar que esto no sucede si estamos conectados vía Wifi, así como tampoco sucede si usamos un navegador distinto al navegador de serie de nuestra ROM de Personal.

¿Cómo puedo saber si estoy afectado por este problema?
Hay muchas páginas en internet que nos muestran toda la información que compartimos con la web. Un compañero me pasó el dato de esta, que es muy completa y nos muestra todas las headers:

whoer.net/extended

Si entran ahí, van a ver un montón de información. Busquen la sección "HTTP Headers" y busquen el que pongo arriba.

¿Qué les parece? Creo que es un problema muy grave de seguridad / privacidad, aunque sinceramente dudo de que sea un fallo. Más bien parece a propósito.