Nettstedsfeil lar folk spore amerikanske mobiltelefoner uten tillatelse

For en uke siden la den amerikanske senatoren John Wyden en formell klage til FCC om et telefonsporingssystem som kan brukes av politiet til å spore nesten hvilken som helst telefon i USA. Nå har det kommet bevis på at en andre, mer skremmende telefonsporingstjeneste, har tillatt omtrent hvem som helst å spore amerikanske mobiltelefoner.


Systemet kalles LocationSmart, og det er en telefonsporingstjeneste som kan kartlegge plasseringen av mobiltelefoner koblet til transportnettverk tilhørende Verizon, AT&T, Sprint og T-Mobile.

Utrolig har sikkerhetsforsker, Brian Krebs, nå avslørt at en feil - som er ekstremt enkel å utnytte - har blitt funnet i den gratis demonstrasjonen av stedssporingsverktøyet.

Den gratis å bruke API, som var tilgjengelig på LocationSmarts hjemmeside inntil nylig, hadde tillatt alle med et grunnleggende kunnskap om koding å spore omtrent hvilken som helst mobiltelefon i USA.

Hvor er du?

Stedssporingsdemoen eksisterte for å tillate forbrukere å sjekke levedyktigheten til teknologien ved å la dem sjekke plasseringen av sin egen telefon. Det fungerte ved å la potensielle kunder oppgi navn, e-postadresse og telefonnummer til et online skjema. Etter det mottok brukeren en SMS-melding der de ba om tillatelse til å omtrykke telefonens posisjon ved hjelp av triangulering av celletårn.

Imidlertid oppdaget en forsker som jobber ved Carnegie Mellon University en måte å omgå SMS-autorisasjonsprosessen. Resultatet? Muligheten til å spørre om hvilken som helst telefon i USA ved hjelp av online demo-verktøyet.

Lett å utnytte

I følge Robert Xiao fra Carnegie Mellons Human-Computer Interaction Institute fant han feilen ved en tilfeldighet:

“Jeg snublet over dette nesten ved et uhell, og det var ikke veldig vanskelig å gjøre.

“Dette er noe alle kunne oppdage med minimal innsats. Og kjernen i det er at jeg kan spore de fleste mobiltelefoner uten deres samtykke. ”

I Xiaos detaljerte blogg om feilen forklarer han at enkle å utføre endringer i demoens nettforespørsler tillot noen å omgå nødvendigheten av at telefonbrukere skal godkjenne via SMS før de blir sporet. Xiao testet feilen ved å spore vennens telefon flere ganger og klarte å spore ham i sanntid. "Dette er virkelig skumle greier," kommenterte han.

Xiao forklarte det også "fordi dette er operatørbasert, fungerer det uansett telefonoperativsystem eller personverninnstillinger på selve enheten. Det er ingen mulighet til å velge bort".

Mario Proietti, administrerende direktør i LocationSmart, har gått med på å si at firmaet vil sette i gang en etterforskning av hva som skjedde. Demoverktøyet er allerede fjernet fra nettstedet. I følge Proietti ble API-en kun gjort tilgjengelig for "legitime og autoriserte formål". Når han snakket om tjenesten, kommenterte han:

"Det er basert på legitim og autorisert bruk av posisjonsdata som bare skjer etter samtykke. Vi tar personvern på alvor, og vi vil gjennomgå alle fakta og se nærmere på dem. ”

Brudd på personvernet

Senator Ron Wyden har igjen uttrykt sin sinne over den mangelfulle måten forbruksdata blir behandlet av teleselskaper og tredjepartene de jobber med:

Denne lekkasjen, som kommer bare dager etter at den slappe sikkerheten i Securus ble utsatt, viser hvor lite selskaper i det trådløse økosystemet som verdsetter amerikanernes sikkerhet. Det representerer en klar og nåværende fare, ikke bare for personvern, men for den økonomiske og personlige sikkerheten til hver amerikansk familie.

"Fordi de verdsetter overskudd over personvernet og sikkerheten til amerikanerne hvis beliggenhet de trafikkerer, ser det ut som om de trådløse transportørene og LocationSmart har tillatt nesten enhver hacker med grunnleggende kunnskap om nettsteder å spore plasseringen til enhver amerikaner med mobiltelefon."

Juridisk grått område

Krebs henvendte seg til de fire involverte mobiltelefonbærerne, men alle nektet å bekrefte eller avkrefte at de hadde jobbet med LocationSmart. Selv om den ikke er bekreftet, hevder Krebs at det er mulig at demoen har vært tilgjengelig for å utnytte siden så tidlig som i 2011, og definitivt siden januar 2017.

I følge Electronic Frontier Foundations advokat, er firmaer pålagt ved lov å oppbevare stedsdata for å gjøre dem tilgjengelig for nødetatene. Imidlertid er det fortsatt et grått område om det er lovlig for transportører å også selge disse dataene til firmaer som LocationSmart og Securus uten først å ha fått direkte tillatelse fra forbrukerne. Krebs sa:

"Et tredjepartsfirma som lekker informasjon om kundeplassering, vil ikke bare med sikkerhet gi brudd på hver enkelt mobiloperatørs egen erklærte personvernregler, men sanntidseksponeringen av disse dataene utgjør alvorlig personvern- og sikkerhetsrisiko for praktisk talt alle amerikanske mobilkunder.."

Foreløpig må vi vente og se hva som kommer av FCCs undersøkelse. En ting er imidlertid sikkert, dette kommer ikke til å børstes lett under teppet.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me