Mit dem Website-Bug können Benutzer US-amerikanische Handys ohne Erlaubnis verfolgen

Vor einer Woche reichte der US-Senator John Wyden bei der FCC eine offizielle Beschwerde über ein Telefon-Tracking-System ein, mit dem die Polizei fast jedes Telefon in den USA verfolgen kann. Nun hat sich herausgestellt, dass ein zweiter, viel furchterregenderer Telefon-Tracking-Dienst es so gut wie jedem ermöglicht hat, US-Handys zu verfolgen.

Das System heißt LocationSmart und ist ein Telefonverfolgungsdienst, der den Standort von Mobiltelefonen ermitteln kann, die mit Betreibernetzen von Verizon, AT, verbunden sind&T, Sprint und T-Mobile.

Unglaublicherweise hat der Sicherheitsforscher Brian Krebs nun offenbart, dass in der kostenlosen Demo des Ortungstools ein Fehler gefunden wurde, der extrem einfach auszunutzen ist.

Die kostenlose API, die bis vor kurzem auf der LocationSmart-Website verfügbar war, ermöglichte es Personen mit grundlegenden Codierungskenntnissen, nahezu jedes Mobiltelefon in den USA zu verfolgen.

Wo sind Sie?

Die Standortverfolgungsdemo gab es, um es den Verbrauchern zu ermöglichen, die Funktionsfähigkeit der Technologie zu überprüfen, indem sie den Standort ihres eigenen Telefons überprüfen können. Interessenten konnten ihren Namen, ihre E-Mail-Adresse und ihre Telefonnummer in ein Online-Formular eingeben. Anschließend erhielt der Benutzer eine SMS-Nachricht, in der er um die Erlaubnis gebeten wurde, die Position seines Telefons mithilfe der Zellturm-Triangulation zu approximieren.

Ein Forscher der Carnegie Mellon University hat jedoch eine Möglichkeit gefunden, den SMS-Autorisierungsprozess zu umgehen. Das Ergebnis? Die Möglichkeit, den Standort eines Telefons in den USA mit dem Online-Demo-Tool abzufragen.

Einfach auszunutzen

Laut Robert Xiao vom Human-Computer Interaction Institute von Carnegie Mellon hat er den Fehler zufällig entdeckt:

"Ich bin fast zufällig darauf gestoßen, und es war nicht besonders schwer, das zu tun.

„Das kann jeder mit minimalem Aufwand herausfinden. Im Kern kann ich die Handys der meisten Leute ohne deren Zustimmung verfolgen. “

In Xiaos ausführlichem Blog über den Fehler erklärt er, dass die einfache Durchführung von Änderungen an den Webanforderungen der Demo es jedermann ermöglichte, die Notwendigkeit zu umgehen, dass Telefonbenutzer per SMS zustimmen müssen, bevor sie verfolgt werden. Xiao testete den Fehler, indem er das Telefon seines Freundes einige Male verfolgte, und war erfolgreich in der Lage, ihn in Echtzeit zu verfolgen. "Das ist wirklich gruseliges Zeug", kommentierte er.

Xiao erklärte das auch "Da dies vom Mobilfunkanbieter abhängig ist, funktioniert es unabhängig vom Betriebssystem des Telefons oder den Datenschutzeinstellungen auf dem Gerät. Es gibt keine Möglichkeit, sich abzumelden".

Mario Proietti, der CEO von LocationSmart, hat bekannt gegeben, dass das Unternehmen eine Untersuchung des Vorfalls einleiten wird. Das Demo-Tool wurde bereits von der Website entfernt. Laut Proietti wurde die API nur für "legitime und autorisierte Zwecke" zur Verfügung gestellt. Über den Service sagte er:

"Es basiert auf der legitimen und autorisierten Verwendung von Standortdaten, die nur mit Zustimmung erfolgen. Wir nehmen den Datenschutz ernst und werden alle Fakten prüfen und untersuchen. "

Datenschutz verletzt

Senator Ron Wyden hat erneut seine Wut darüber zum Ausdruck gebracht, dass Verbraucherdaten von Telekommunikationsunternehmen und den Dritten, mit denen sie zusammenarbeiten, nur mangelhaft behandelt werden:

„Dieses Leck, das nur wenige Tage nach der Aufdeckung der Sicherheitslücke bei Securus auftritt, zeigt, wie wenig Unternehmen im gesamten drahtlosen Ökosystem die Sicherheit der Amerikaner schätzen. Es stellt eine klare und gegenwärtige Gefahr dar, nicht nur für die Privatsphäre, sondern für die finanzielle und persönliche Sicherheit jeder amerikanischen Familie.

"Weil sie Gewinne über der Privatsphäre und Sicherheit der Amerikaner schätzen, deren Standorte sie besuchen, haben die Mobilfunkbetreiber und LocationSmart anscheinend fast jedem Hacker mit Grundkenntnissen über Websites die Möglichkeit gegeben, den Standort eines Amerikaners mit einem Mobiltelefon zu verfolgen."

Rechtliche Grauzone

Krebs wandte sich an die vier beteiligten Mobilfunkanbieter, aber alle weigerten sich zu bestätigen oder zu leugnen, dass sie mit LocationSmart zusammengearbeitet hatten. Obwohl nicht bestätigt, behauptet Krebs, dass es möglich ist, dass die Demo bereits 2011 und definitiv seit Januar 2017 verfügbar ist.

Laut dem Anwalt der Electronic Frontier Foundation sind Unternehmen gesetzlich verpflichtet, Standortdaten aufzubewahren, um sie den Rettungsdiensten zur Verfügung zu stellen. Es bleibt jedoch eine Grauzone, ob es für Carrier legal ist, diese Daten auch an Unternehmen wie LocationSmart und Securus zu verkaufen, ohne zuvor die direkte Erlaubnis der Verbraucher einzuholen. Krebs sagte:

"Ein Unternehmen eines Drittanbieters, das Kundenstandortinformationen preisgibt, würde nicht nur mit ziemlicher Sicherheit gegen die von den Mobilfunkanbietern angegebenen Datenschutzrichtlinien verstoßen, sondern die Offenlegung dieser Daten in Echtzeit birgt auch erhebliche Datenschutz- und Sicherheitsrisiken für praktisch alle Mobilfunkkunden in den USA."

Vorerst müssen wir abwarten, was aus den Ermittlungen der FCC hervorgeht. Eines ist jedoch sicher, dies wird nicht leicht unter den Teppich gebürstet werden.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me