Il bug del sito Web consente alle persone di rintracciare i telefoni cellulari statunitensi senza autorizzazione

Una settimana fa il senatore americano John Wyden ha presentato una denuncia formale alla FCC in merito a un sistema di localizzazione del telefono che può essere utilizzato dalla polizia per localizzare quasi tutti i telefoni negli Stati Uniti. Ora, è emersa la prova che un secondo, molto più terrificante servizio di localizzazione dei telefoni, ha permesso a quasi tutti di rintracciare i telefoni cellulari statunitensi.


Il sistema si chiama LocationSmart ed è un servizio di localizzazione del telefono in grado di individuare la posizione dei telefoni cellulari collegati alle reti dell'operatore appartenente a Verizon, AT&T, Sprint e T-Mobile.

Incredibilmente, il ricercatore di sicurezza, Brian Krebs, ha ora rivelato che un bug - che è estremamente facile da sfruttare - è stato trovato nella demo gratuita dello strumento di localizzazione.

Quell'API gratuita, che era disponibile sul sito web di LocationSmart fino a poco tempo fa, aveva permesso a chiunque con un lavoro di base sulla conoscenza della codifica di rintracciare qualsiasi telefono cellulare negli Stati Uniti.

Dove sei?

La demo di localizzazione esisteva per consentire ai consumatori di verificare la fattibilità della tecnologia consentendo loro di controllare la posizione del proprio telefono. Ha funzionato consentendo ai potenziali clienti di inserire il loro nome, indirizzo e-mail e numero di telefono in un modulo online. Successivamente, l'utente ha ricevuto un messaggio SMS che chiedeva il permesso di approssimare la posizione del proprio telefono usando la triangolazione del tower tower.

Tuttavia, un ricercatore della Carnegie Mellon University ha scoperto un modo per aggirare il processo di autorizzazione SMS. Il risultato? La possibilità di interrogare la posizione di qualsiasi telefono negli Stati Uniti utilizzando lo strumento demo online.

Facile da sfruttare

Secondo Robert Xiao dell'Istituto di interazione uomo-computer di Carnegie Mellon, ha trovato il bug per caso:

"Mi sono imbattuto in questo quasi per caso, e non è stato tremendamente difficile da fare.

“Questo è qualcosa che chiunque potrebbe scoprire con il minimo sforzo. E la sostanza è che posso rintracciare i telefoni cellulari della maggior parte delle persone senza il loro consenso. "

Nel blog dettagliato di Xiao sull'errore, spiega che la facile modifica delle richieste Web della demo ha permesso a chiunque di eludere la necessità che gli utenti del telefono approvassero via SMS prima di essere rintracciati. Xiao ha testato il bug rintracciando il telefono del suo amico diverse volte ed è stato in grado di seguirlo con successo in tempo reale. "Questa è roba davvero inquietante", ha commentato.

Xiao lo ha anche spiegato "poiché si basa sul gestore telefonico, funziona indipendentemente dal sistema operativo del telefono o dalle impostazioni sulla privacy del dispositivo stesso. Non è possibile annullare l'iscrizione".

Mario Proietti, CEO di LocationSmart, ha dichiarato che l'impresa avvierà un'indagine su ciò che è accaduto. Lo strumento demo è già stato rimosso dal sito Web. Secondo Proietti, l'API è stata resa disponibile solo per "scopi legittimi e autorizzati". Parlando del servizio, ha commentato:

"Si basa sull'uso legittimo e autorizzato dei dati di localizzazione che ha luogo solo con il consenso. Prendiamo sul serio la privacy e esamineremo tutti i fatti e li esamineremo ".

Violazione della privacy

Il senatore Ron Wyden ha nuovamente espresso la sua rabbia per il modo poco brillante con cui i dati dei consumatori vengono trattati dalle società di telecomunicazioni e dalle terze parti con cui lavorano:

"Questa fuga, che arriva solo pochi giorni dopo che è stata esposta la lassista sicurezza di Securus, dimostra quanto piccole aziende in tutto l'ecosistema wireless apprezzino la sicurezza degli americani. Rappresenta un pericolo chiaro e presente, non solo per la privacy ma per la sicurezza finanziaria e personale di ogni famiglia americana.

"Poiché valutano i profitti al di sopra della privacy e della sicurezza degli americani di cui indirizzano il traffico, i gestori wireless e LocationSmart sembrano aver consentito a quasi tutti gli hacker con una conoscenza di base dei siti Web di tracciare la posizione di qualsiasi americano con un telefono cellulare."

Area grigia legale

Krebs si avvicinò ai quattro gestori di telefoni cellulari coinvolti ma tutti si rifiutarono di confermare o negare di aver lavorato con LocationSmart. Sebbene non confermato, Krebs afferma che è possibile che la demo sia disponibile da sfruttare già dal 2011 e sicuramente dal gennaio 2017.

Secondo l'avvocato del personale della Electronic Frontier Foundation, le aziende sono tenute per legge a conservare i dati di localizzazione per renderli disponibili ai servizi di emergenza. Tuttavia, rimane una zona grigia se è legale che i vettori vendano anche quei dati a aziende come LocationSmart e Securus senza prima ottenere l'autorizzazione diretta dei consumatori. Krebs ha detto:

"Una società di terze parti che perde informazioni sulla posizione dei clienti non solo violerebbe quasi sicuramente le politiche sulla privacy dichiarate da ciascun provider di telefonia mobile, ma l'esposizione in tempo reale di questi dati comporta seri rischi di privacy e sicurezza per praticamente tutti i clienti mobili statunitensi."

Per ora, dovremo aspettare e vedere cosa succederà dalle indagini della FCC. Tuttavia, una cosa è certa, questo non sarà facilmente spazzolato sotto il tappeto.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me