ウェブサイトのバグにより、人々は許可なく米国の携帯電話を追跡できます

1週間前、米国上院議員ジョン・ワイデンは、警察が米国内のほぼすべての電話を追跡するために使用できる電話追跡システムについてFCCに正式に苦情を申し立てました。今、2番目の、はるかに恐ろしい電話追跡サービスが、だれでも米国の携帯電話を追跡することを許可しているという証拠が明らかになりました。.

このシステムはLocationSmartと呼ばれ、ATのVerizonに属するキャリアネットワークに接続された携帯電話の位置を特定できる電話追跡サービスです。&T、スプリント、T-Mobile.

信じられないほど、セキュリティ研究者のブライアンクレブスは、位置追跡ツールの無料デモで、非常に簡単に悪用できるバグが見つかったことを明らかにしました。.

LocationSmartのウェブサイトで最近まで利用できたAPIの無料使用により、基本的なコーディング知識を持つ人なら誰でも米国のほぼすべての携帯電話を追跡できました。.

どこにいますか?

位置追跡デモは、消費者が自分の電話の位置を確認できるようにすることで、技術の実行可能性を確認できるようにするために存在していました。見込み客が名前、メールアドレス、電話番号をオンラインフォームに入力できるようにすることで機能しました。それに続いて、ユーザーは携帯電話の三角測量を使用して携帯電話の位置を概算する許可を求めるSMSメッセージを受信しました.

しかし、カーネギーメロン大学で働いている研究者は、SMS認証プロセスをバイパスする方法を発見しました。結果?オンラインデモツールを使用して、米国内の電話の場所を照会する機能.

悪用しやすい

カーネギーメロンのヒューマンコンピュータインタラクション研究所のロバート・シャオによると、彼は偶然にバグを発見しました。

「私はこれを偶然ほとんど偶然見つけました、そしてそれをすることはそれほど難しくありませんでした.

「これは誰でも最小限の労力で発見できるものです。そして、その要点は、ほとんどの人の同意なしに携帯電話を追跡できることです。」

Xiaoのバグに関する詳細なブログで、デモのWebリクエストの変更を簡単に実行できるため、誰でも電話ユーザーが追跡する前にSMSで承認する必要性を回避できると説明しています。 Xiaoは友人の電話を何度も追跡してバグをテストし、リアルタイムで追跡することに成功しました。 「これは本当に不気味なものです」と彼はコメントしました.

シャオも説明した "これはキャリアベースであるため、電話のオペレーティングシステムまたはデバイス自体のプライバシー設定に関係なく機能します。オプトアウトする機能はありません".

LocationSmartのCEOであるMario Proietti氏は、会社が何が起こったのか調査を開始すると発表するために記録に残りました。デモツールは既にWebサイトから削除されています。 Proiettiによると、APIは「正当かつ許可された目的」でのみ利用可能になりました。サービスについて話して、彼はコメントした。

「これは、同意を得た場合にのみ行われる位置データの正当かつ許可された使用に基づいています。プライバシーを真剣に考えており、すべての事実を確認して調査します。」

プライバシー侵害

ロンワイデン上院議員は、消費者データが通信会社や彼らが働く第三者によって取り扱われている方法の欠如に再び怒りを表明しました。

「Securusの緩いセキュリティが公開されてから数日後に発生するこのリークは、ワイヤレスエコシステム全体でアメリカ人のセキュリティを重視する企業が少ないことを示しています。それは、プライバシーだけでなく、すべてのアメリカ人家族の経済的および個人的な安全にとって、明確で現在の危険を表しています。.

「彼らが位置する場所にいるアメリカ人のプライバシーと安全性よりも利益を重視しているため、無線通信事業者とLocationSmartは、ウェブサイトの基本的な知識を持つほぼすべてのハッカーが携帯電話でアメリカ人の位置を追跡できるようにしているようです」

法的グレー領域

クレブスは関係する4つの携帯電話キャリアにアプローチしましたが、すべてがLocationSmartと連携したことを確認または拒否することを拒否しました。未確認ではあるが、クレブスはデモが2011年には早くも、2017年1月以降に悪用される可能性があると主張している.

Electronic Frontier Foundationのスタッフ弁護士によれば、企業は、緊急サービスで利用できるように位置データを保持することが法律で義務付けられています。ただし、キャリアがそのデータをLocationSmartやSecurusなどの企業に最初に消費者から直接許可することなく販売することも合法であるかどうかは、灰色の領域のままです。クレブスは言った:

"サードパーティ企業が顧客の位置情報を漏洩すると、ほぼ確実に各モバイルプロバイダーが所有するプライバシーポリシーに違反するだけでなく、このデータがリアルタイムで公開されるため、事実上すべての米国のモバイル顧客に深刻なプライバシーとセキュリティリスクが生じます."

今のところ、FCCの調査の結果を確認する必要があります。ただし、1つ確かなことは、これはカーペットの下に簡単にブラシをかけられないことです。.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me