Chyba na webu umožňuje lidem sledovat mobilní telefony v USA bez povolení

Před týdnem podal americký senátor John Wyden FCC formální stížnost na systém sledování telefonu, který může policie použít ke sledování téměř jakéhokoli telefonu v USA. Nyní se objevily důkazy, že druhá, mnohem děsivější služba sledování telefonů dovoluje téměř každému, kdo sleduje americké mobilní telefony.


Tento systém se nazývá LocationSmart a jedná se o službu sledování telefonu, která dokáže určit polohu mobilních telefonů připojených k nosným sítím společnosti Verizon, AT&T, Sprint a T-Mobile.

Výzkumník v oblasti bezpečnosti, Brian Krebs, nyní neuvěřitelně odhalil, že v bezplatné ukázce nástroje pro sledování polohy byla nalezena chyba, kterou lze velmi snadno využít..

Toto bezplatné používání API, které bylo k dispozici na webových stránkách LocationSmart až donedávna, umožnilo každému, kdo má základní znalosti kódování, sledovat téměř jakýkoli mobilní telefon v USA..

Kde jsi?

Ukázka sledování polohy existovala, aby spotřebitelům umožnila zkontrolovat životaschopnost technologie tím, že jim umožní zkontrolovat umístění jejich vlastního telefonu. Fungovalo to tak, že umožnilo potenciálním zákazníkům zadat online jméno, e-mailovou adresu a telefonní číslo. Poté uživatel obdržel SMS zprávu s žádostí o svolení aproximovat polohu svého telefonu pomocí triangulace mobilní věže.

Výzkumník pracující na Carnegie Mellon University však objevil způsob, jak obejít proces autorizace SMS. Výsledek? Možnost dotazovat polohu jakéhokoli telefonu v USA pomocí online demo nástroje.

Snadné využití

Podle Roberta Xiaa z Carnegie Mellonova institutu interakce člověk-počítač našel chybu náhodou:

"Narazil jsem na to téměř náhodou a nebylo strašně těžké to udělat.".

"To je něco, co by někdo mohl objevit s minimálním úsilím." A podstatou toho je, že mohu sledovat mobilní telefony většiny lidí bez jejich souhlasu. “

V podrobném blogu společnosti Xiao o této chybě vysvětluje, že snadné provedení změn webových požadavků dema umožnilo komukoli obejít nutnost, aby uživatelé telefonů před sledováním schválili schválení pomocí SMS. Xiao testoval chybu sledováním telefonu svého přítele několikrát a byl schopen ho úspěšně sledovat v reálném čase. "Tohle jsou opravdu strašidelné věci," poznamenal.

Xiao to také vysvětlil "protože je založeno na operátorovi, funguje bez ohledu na operační systém telefonu nebo nastavení soukromí na samotném zařízení. Neexistuje možnost odhlášení".

Mario Proietti, generální ředitel společnosti LocationSmart, zaznamenal, že firma zahájí vyšetřování toho, co se stalo. Demo nástroj již byl z webu odstraněn. Podle společnosti Proietti bylo API zpřístupněno pouze pro „legitimní a autorizované účely“. Když mluvil o službě, komentoval:

„Je založeno na legitimním a autorizovaném použití údajů o poloze, které se provádí pouze se souhlasem. Soukromí bereme vážně a zkontrolujeme všechna fakta a prozkoumáme je. “

Ochrana soukromí byla porušena

Senátor Ron Wyden znovu vyjádřil svůj hněv nad nevýrazným způsobem, jakým jsou s spotřebitelskými údaji zacházeny telekomunikační společnosti a třetí strany, se kterými spolupracují:

„Tento únik, který nastane pouze několik dní po odhalení laxního zabezpečení u Securus, ukazuje, jak malé společnosti v celém bezdrátovém ekosystému oceňují americké zabezpečení. Představuje jasné a současné nebezpečí nejen pro soukromí, ale také pro finanční a osobní bezpečnost každé americké rodiny.

"Vzhledem k tomu, že si cení zisků nad soukromí a bezpečí Američanů, na jejichž místech provozují, zdá se, že bezdrátové operátory a LocationSmart umožnily téměř každému hackerovi se základní znalostí webových stránek sledovat polohu jakéhokoli Američana pomocí mobilního telefonu."

Legální šedá oblast

Krebs se přiblížil ke čtyřem zúčastněným mobilním operátorům, ale všichni odmítli potvrdit nebo popřít, že pracovali s LocationSmart. Ačkoli to není potvrzeno, Krebs tvrdí, že je možné, že demo je k dispozici k využití již od roku 2011 a určitě od ledna 2017.

Podle právního zástupce nadace Electronic Frontier Foundation jsou firmy povinny ze zákona ukládat údaje o poloze, aby byly dostupné pohotovostním službám. Zůstává však šedou oblastí, zda je legální, aby dopravci tyto údaje prodávali také společnostem, jako je LocationSmart a Securus, aniž by nejprve získali přímý souhlas spotřebitelů. Krebs řekl:

"Společnost třetí strany, která únikem informací o poloze zákazníka nejenže téměř jistě poruší vlastní zásady ochrany osobních údajů každého mobilního operátora, ale vystavení těchto údajů v reálném čase představuje vážné riziko pro soukromí a zabezpečení prakticky pro všechny mobilní zákazníky v USA.."

Prozatím budeme muset počkat a uvidíme, co přijde z vyšetřování FCC. Jedna věc je však jistá, že to nebude snadno kartáčováno pod koberec.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me