Webstedsfejl lader folk spore amerikanske mobiltelefoner uden tilladelse

For en uge siden fremsatte den amerikanske senator John Wyden en formel klage til FCC over et telefonsporingssystem, der kan bruges af politiet til at spore næsten enhver telefon i USA. Nu er der fremkommet bevis for, at en anden, meget mere skræmmende telefonsporingstjeneste har tilladt næsten nogen at spore amerikanske mobiltelefoner.

Systemet kaldes LocationSmart, og det er en telefonsporingstjeneste, der kan identificere placeringen af ​​mobiltelefoner, der er forbundet til transportnetværk, der tilhører Verizon, AT&T, Sprint og T-Mobile.

Utroligt har sikkerhedsforsker, Brian Krebs, nu afsløret, at en bug - som er ekstremt let at udnytte - er blevet fundet i den gratis demonstration af lokaliseringssporingsværktøjet.

Den frie til brug af API, der var tilgængelig på LocationSmarts websted indtil for nylig, havde tilladt nogen med et grundlæggende kodningskendskabsarbejde at spore næsten enhver mobiltelefon i USA.

Hvor er du?

Placeringssporing-demoen eksisterede for at give forbrugere mulighed for at kontrollere teknologiens levedygtighed ved at tillade dem at kontrollere placeringen af ​​deres egen telefon. Det fungerede ved at lade potentielle kunder indtaste deres navn, e-mail-adresse og telefonnummer til en online form. Derefter modtog brugeren en SMS-besked, der bad om deres tilladelse til at tilnærme sig sin telefonposition ved hjælp af triangulering af celletårn.

Imidlertid opdagede en forsker, der arbejdede ved Carnegie Mellon University, en måde at omgå SMS-godkendelsesprocessen. Resultatet? Muligheden for at forespørge placeringen af ​​enhver telefon i USA ved hjælp af online demo-værktøjet.

Let at udnytte

Ifølge Robert Xiao fra Carnegie Mellons Human-Computer Interaction Institute fandt han fejlen tilfældigt:

”Jeg snuble over dette næsten ved et uheld, og det var ikke meget svært at gøre.

”Dette er noget, enhver kunne opdage med minimal anstrengelse. Og kernen af ​​det er, at jeg kan spore de fleste menneskers mobiltelefoner uden deres samtykke. ”

I Xiaos detaljerede blog om fejlen forklarer han, at let at udføre ændringer af demos webanmodninger gjorde det muligt for nogen at omgå nødvendigheden af, at telefonbrugere skal godkende via SMS, før de spores. Xiao testede fejlen ved at spore hans vens telefon et antal gange og kunne med succes spore ham i realtid. ”Dette er virkelig uhyggelige ting,” kommenterede han.

Xiao forklarede også det "fordi dette er operatørbaseret, fungerer det uanset telefonens operativsystem eller personlige indstillinger på selve enheden. Der er ingen mulighed for at fravælge det".

Mario Proietti, administrerende direktør for LocationSmart er gået i spidsen for at sige, at firmaet vil iværksætte en undersøgelse af, hvad der skete. Demo-værktøjet er allerede fjernet fra webstedet. Ifølge Proietti blev API'en kun tilgængelig til “legitime og autoriserede formål”. Når han talte om tjenesten, kommenterede han:

”Det er baseret på legitim og autoriseret brug af lokaliseringsdata, der kun finder sted efter samtykke. Vi tager privatliv alvorligt, og vi vil gennemgå alle fakta og undersøge dem. ”

Overtrædelse af privatlivets fred

Senator Ron Wyden har igen udtrykt sin vrede over den mangelfulde måde, hvorpå forbrugerdata behandles af teleselskaber og de tredjepart, de arbejder med:

”Denne lækage, der kun kommer dage efter, at den slappe sikkerhed i Securus blev udsat, viser, hvor lidt virksomheder i det trådløse økosystem værdsætter amerikanernes sikkerhed. Det repræsenterer en klar og nuværende fare, ikke kun for privatlivets fred, men for den amerikanske families økonomiske og personlige sikkerhed.

"Fordi de værdsætter overskud over privatlivets fred og sikkerhed for de amerikanere, hvis placeringer de trafikkerer i, synes de trådløse luftfartsselskaber og LocationSmart at have tilladt næsten enhver hacker med et grundlæggende kendskab til websteder at spore placeringen af ​​enhver amerikaner med en mobiltelefon."

Juridisk gråt område

Krebs henvendte sig til de fire involverede mobiltelefonholdere, men alle nægtede at bekræfte eller benægte, at de havde arbejdet med LocationSmart. Selvom Krebs ikke er bekræftet, hævder det, at det er muligt, at demoen har været tilgængelig til at udnytte siden så tidligt som 2011, og bestemt siden januar 2017.

I henhold til Electronic Frontier Foundations personale advokat er virksomheder forpligtet ved lov til at opbevare lokalitetsdata for at gøre dem tilgængelige for nødhjælpstjenester. Det er dog stadig et gråt område, om det er lovligt for luftfartsselskaber at også sælge disse data til virksomheder som LocationSmart og Securus uden først at have fået direkte tilladelse fra forbrugerne. Krebs sagde:

"Et tredjepartsfirma, der lækker information om kundeplacering, ville ikke kun næsten helt sikkert krænke hver enkelt mobiludbyderes egne erklærede privatlivspolitikker, men realtidseksponeringen af ​​disse data udgør alvorlige privatlivets fred og sikkerhedsrisici for stort set alle amerikanske mobilkunder."

I øjeblikket bliver vi nødt til at vente og se, hvad der kommer af FCC's undersøgelse. En ting er dog sikker, dette vil ikke nemt børstes under tæppet.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me