Błąd witryny pozwala użytkownikom śledzić telefony komórkowe w USA bez pozwolenia

Tydzień temu amerykański senator John Wyden złożył oficjalną skargę do FCC na system śledzenia telefonu, którego policja może użyć do śledzenia prawie każdego telefonu w USA. Teraz pojawiły się dowody na to, że druga, znacznie bardziej przerażająca usługa śledzenia telefonów pozwala prawie każdemu śledzić telefony komórkowe w USA.

System nazywa się LocationSmart i jest to usługa śledzenia telefonu, która może wskazać lokalizację telefonów komórkowych podłączonych do sieci operatorów należących do Verizon, AT&T, Sprint i T-Mobile.

Niewiarygodnie, badacz bezpieczeństwa, Brian Krebs, ujawnił teraz, że błąd - który jest niezwykle łatwy w użyciu - został znaleziony w darmowej wersji demo narzędzia do śledzenia lokalizacji.

Ten darmowy interfejs API, który do niedawna był dostępny na stronie internetowej LocationSmart, pozwalał każdemu, kto ma podstawową wiedzę na temat kodowania, na śledzenie praktycznie każdego telefonu komórkowego w USA.

Gdzie jesteś?

Demo śledzenia lokalizacji istniało, aby umożliwić konsumentom sprawdzenie żywotności technologii, umożliwiając im sprawdzenie lokalizacji własnego telefonu. Udało się to, umożliwiając potencjalnym klientom wpisanie nazwiska, adresu e-mail i numeru telefonu w formularzu online. Następnie użytkownik otrzymał wiadomość SMS z prośbą o zgodę na przybliżenie pozycji telefonu za pomocą triangulacji wieży komórkowej.

Jednak naukowiec pracujący na Carnegie Mellon University odkrył sposób na ominięcie procesu autoryzacji SMS. Wynik? Możliwość zapytania o lokalizację dowolnego telefonu w USA za pomocą internetowego narzędzia demonstracyjnego.

Łatwy w użyciu

Według Roberta Xiao z Instytutu interakcji człowiek-komputer Carnegie Mellon znalazł błąd przez przypadek:

„Natknąłem się na to prawie przez przypadek i nie było to strasznie trudne.

„Jest to coś, co każdy może odkryć przy minimalnym wysiłku. A jego sedno polega na tym, że mogę śledzić telefony komórkowe większości ludzi bez ich zgody. ”

W szczegółowym blogu Xiao o błędzie wyjaśnia, że ​​łatwe do wprowadzenia zmiany w żądaniach internetowych wersji demo pozwoliły każdemu ominąć konieczność zatwierdzenia przez użytkowników telefonu za pomocą wiadomości SMS przed śledzeniem. Xiao przetestował błąd, śledząc telefon swojego przyjaciela wiele razy i udało mu się go wyśledzić w czasie rzeczywistym. „To naprawdę przerażające rzeczy” - skomentował.

Xiao również to wyjaśnił "ponieważ jest to oparte na operatorze, działa niezależnie od systemu operacyjnego telefonu lub ustawień prywatności na samym urządzeniu. Nie ma możliwości rezygnacji".

Mario Proietti, dyrektor generalny LocationSmart, podał do wiadomości, że firma rozpocznie dochodzenie w sprawie tego, co się stało. Narzędzie demonstracyjne zostało już usunięte ze strony internetowej. Według Proietti interfejs API został udostępniony wyłącznie do „zgodnych z prawem i autoryzowanych celów”. Mówiąc o usłudze, skomentował:

„Opiera się na legalnym i autoryzowanym wykorzystaniu danych o lokalizacji, które odbywa się wyłącznie za zgodą. Traktujemy prywatność poważnie i sprawdzimy wszystkie fakty i przyjrzymy się im ”.

Naruszona prywatność

Senator Ron Wyden ponownie wyraził swój gniew z powodu nieostrożnego sposobu, w jaki dane konsumentów są przetwarzane przez firmy telekomunikacyjne i strony trzecie, z którymi współpracują:

„Ten wyciek, który nastąpił zaledwie kilka dni po ujawnieniu luźnego bezpieczeństwa w Securus, pokazuje, jak niewiele firm w całym ekosystemie bezprzewodowym ceni bezpieczeństwo Amerykanów. Stanowi to wyraźne i obecne zagrożenie, nie tylko dla prywatności, ale dla bezpieczeństwa finansowego i osobistego każdej amerykańskiej rodziny.

„Ponieważ cenią sobie zyski ponad prywatność i bezpieczeństwo Amerykanów, których lokalizacje odwiedzają, wydaje się, że operatorzy bezprzewodowi i LocationSmart pozwolili niemal każdemu hakerowi z podstawową wiedzą na temat stron internetowych śledzić lokalizację każdego Amerykanina posiadającego telefon komórkowy”.

Szara strefa prawna

Krebs zbliżył się do czterech zaangażowanych operatorów telefonów komórkowych, ale wszyscy odmówili potwierdzenia lub zaprzeczenia, że ​​współpracowali z LocationSmart. Chociaż niepotwierdzone, Krebs twierdzi, że jest możliwe, że demo jest dostępne do wykorzystania już w 2011 roku, a zdecydowanie od stycznia 2017 roku.

Według pełnomocnika pracowników Electronic Frontier Foundation, firmy są zobowiązane przez prawo do przechowywania danych dotyczących lokalizacji w celu udostępnienia ich służbom ratunkowym. Pozostaje jednak szarą strefą, czy przewoźnicy mogą również sprzedawać te dane firmom takim jak LocationSmart i Securus bez uprzedniego uzyskania bezpośredniego pozwolenia od konsumentów. Krebs powiedział:

"Firma zewnętrzna wyciekająca informacje o lokalizacji klienta nie tylko prawie na pewno naruszyłaby własne zasady prywatności każdego operatora komórkowego, ale ujawnienie tych danych w czasie rzeczywistym stanowi poważne zagrożenie dla prywatności i bezpieczeństwa praktycznie dla wszystkich klientów mobilnych w USA."

Na razie będziemy musieli poczekać i zobaczyć, co przyniesie śledztwo FCC. Jedno jest jednak pewne, że nie będzie łatwo go szczotkować pod dywan.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me