Как операторы получают точные gps-координаты без вашего ведома

02.02.2026 · 5 мин

Мы тщательно скрываем геолокацию от приложений — запрещаем Instagram видеть, где мы пьём кофе, проверяем разрешения в iOS — а в это время наши телефоны каждый день отвечают на прямые вопросы сотовых операторов о точных GPS-координатах. И мы не видим этих запросов в настройках приватности, потому что они проходят в служебном канале связи, о котором обычный пользователь даже не подозревает.

Грубая сила и хирургическая точность

Все знают, что оператор может вычислить местоположение по вышкам. Это классика жанра: триангуляция сигнала между несколькими базовыми станциями даёт точность от десятков до сотен метров. Для полиции этого достаточно, чтобы доказать, что подозреваемый был в районе преступления. В судах прокуроры часто используют именно такие данные.

Но оказывается, это была только верхушка айсберга. Сотовые стандарты 2G, 3G, 4G и 5G содержат встроенные протоколы, которые позволяют сети запросить у устройства не приблизительное местоположение по вышкам, а точные координаты с GNSS-приёмника.

GNSS — это Global Navigation Satellite System. Под капотом у неё четыре созвездия: GPS (США), ГЛОНАСС (Россия), Galileo (Европа) и BeiDou (Китай). Обычно ваш телефон работает с ними пассивно, как с радиостанцией: спутники шлют сигналы времени, телефон вычисляет координаты локально, и никакие данные наружу не уходят. Это как читать дорожный знак: вы узнаёте, где находитесь, но не обязаны сообщать об этом властям, которые знак установили.

Но существуют специальные control-plane протоколы — RRLP (Radio Resource LCS Protocol) в сетях 2G/3G и LPP (LTE Positioning Protocol) в 4G/5G. Эти протоколы работают в служебном канале связи, невидимом для пользователя. Сеть отправляет команду: «Скажи мне свои GPS-координаты, если знаешь их». И телефон отвечает. С точностью до одного-двух метров.

Как утечка координат работает через control-plane
─────────────────────────────────────────────────

Обычное использование GPS     Протокол RRLP/LPP
─────────────────────────     ─────────────────

Спутники ──▶ Телефон        Базовая станция ──▶ Телефон
        │                     │
        ▼                     ▼
    [Координаты хранятся   [Телефон отвечает координатами
     локально в устройстве]  напрямую оператору сети]
GNSS изначально пассивна, но control-plane протоколы превращают телефон в передатчик точных координат по запросу оператора

Это не теория, это практика

В 2006 году агенты DEA (Управление по борьбе с наркотиками США) получили ордер на запрос GPS-координат с телефона курьера. Не ордер на прослушку, не запрос данных о базовых станциях — именно GPS-пинг. Судебное дело United States v. Skinner показало, что правоохранительные органы используют эту возможность десятилетиями.

Ещё показательнее пример израильской службы безопасности Shin Bet. В марте 2020 года, через несколько недель после первого случая COVID-19 в Израиле, правительство запустило систему отслеживания контактов. Люди получали SMS о том, что они были рядом с заражённым, и должны были самоизолироваться. Точность была такой высокой, что это явно выходило за рамки обычной триангуляции вышек — речь шла именно о GPS-данных, собранных через операторов. Точность GPS превратила телефон в электронный браслет без суда и следствия.

Иерархия слежки: от примерной до точной
───────────────────────────────────────

SS7 (межоператорская сигнализация)  : город/район ~ километры
Триангуляция вышек (2G/3G/4G/5G)   : квартал   ~ 50-500 м
RRLP/LPP запрос GNSS координат    : точка    ~ 1-5 м
Control-plane протоколы дают оператору точность, сопоставимую с тем, что видит пользователь в картах

Как закрыть лазейку?

В будущих версиях iOS Apple планирует ввести ограничение на передачу «точного местоположения» сотовым сетям. Но есть два подвоха. Во-первых, это работает только на устройствах с фирменным модемом Apple (выпущенных в 2025 году и позже). Во-вторых, это лишь ограничение, а не полное отключение возможности.

Проблема в том, что модем — это чёрный ящик. Он общается с сетью на уровне, недоступном операционной системе. Когда базовая станция отправляет RRLP-запрос, модем обрабатывает его самостоятельно и может ответить, даже если iOS считает, что доступ к геолокации запрещён. Это как иметь соседа, который имеет ключ от вашей квартиры и может зайти, пока вы на работе, — формально это ваш дом, но контроля нет.

Apple сделала первый шаг, получив полный контроль над модемом (собственный чип вместо Qualcomm). Теперь им нужно дать пользователям два вещи: возможность полностью отключить ответы на GPS-запросы от оператора и уведомления о таких попытках. Представьте, если бы каждый раз, когда сеть пыталась получить ваши координаты, вы видели бы всплывающее окно: «МегаФон запрашивает точное местоположение. Разрешить?»

Паранойя или реальность?

Может ли иностранный государственный актер использовать эти протоколы против людей в другой стране? Через SS7 — систему сигнализации между операторами — уже происходили атаки. Саудовская Аравия использовала уязвимости SS7 для слежки в США. Правда, пока что это позволяло определить только зону покрытия коммутатора, что грубее, чем данные вышек. Но учитывая, что операторы до сих пор передают сигнализацию SS7 без шифрования, не стоит удивляться, если бы оказалось возможным удалённо активировать RRLP/LPP через скомпрометированного или подкупного оператора.

Мы контролируем доступ к камере и микрофону для каждого приложения. Мы видим индикатор, когда какой-то софт использует геолокацию. Но модем остаётся слепой зоной в наших устройствах — территорией, где операторы делают что хотят, не спрашивая разрешения. Пока производители чипов не дадут нам выключить эту функцию или хотя бы покажут, когда она используется, наше «право на приватность» остаётся фикцией. Мы думаем, что закрыли все двери, а сосед всё ещё имеет ключ.

Ссылки