Το σφάλμα ιστοτόπου επιτρέπει στους χρήστες να παρακολουθούν κινητά τηλέφωνα των ΗΠΑ χωρίς άδεια

Πριν από μία εβδομάδα, ο γερουσιαστής των ΗΠΑ, Τζον Γουέν, υπέβαλε επίσημη καταγγελία στην FCC σχετικά με ένα τηλεφωνικό σύστημα παρακολούθησης που μπορεί να χρησιμοποιηθεί από την αστυνομία για να παρακολουθήσει σχεδόν οποιοδήποτε τηλέφωνο στις ΗΠΑ. Τώρα, στοιχεία έχουν προκύψει ότι μια δεύτερη, πολύ πιο τρομακτική υπηρεσία τηλεφωνικής παρακολούθησης, επιτρέπει μόνο κάποιος να παρακολουθεί κινητά τηλέφωνα στις ΗΠΑ.

Το σύστημα ονομάζεται LocationSmart και είναι μια υπηρεσία παρακολούθησης τηλεφώνου που μπορεί να εντοπίσει την τοποθεσία των κινητών τηλεφώνων που είναι συνδεδεμένα σε δίκτυα μεταφορέων που ανήκουν στην Verizon, AT&T, Sprint και T-Mobile.

Απίστευτα, ο ερευνητής ασφάλειας, Brian Krebs, αποκάλυψε τώρα ότι ένα σφάλμα - το οποίο είναι εξαιρετικά εύκολο να εκμεταλλευτεί - έχει βρεθεί στην ελεύθερη επίδειξη του εργαλείου εντοπισμού θέσης.

Αυτό το ελεύθερο για χρήση API, το οποίο ήταν διαθέσιμο στον ιστότοπο της LocationSmart μέχρι πρόσφατα, επέτρεπε σε οποιονδήποτε με βασική γνώση κωδικοποίησης να παρακολουθεί σχεδόν οποιοδήποτε κινητό τηλέφωνο στις ΗΠΑ.

Που είσαι?

Το demo εντοπισμού θέσης υπήρξε για να επιτρέψει στους καταναλωτές να ελέγξουν τη βιωσιμότητα της τεχνολογίας επιτρέποντάς τους να ελέγξουν τη θέση του δικού τους τηλεφώνου. Δούλεψε αφήνοντας τους υποψήφιους πελάτες να εισάγουν το όνομα, τη διεύθυνση ηλεκτρονικού ταχυδρομείου και τον αριθμό τηλεφώνου σε μια ηλεκτρονική φόρμα. Μετά από αυτό, ο χρήστης έλαβε ένα μήνυμα SMS ζητώντας την άδειά του για να προσεγγίσει τη θέση του τηλεφώνου του χρησιμοποιώντας το triangulation πύλης κυττάρων.

Ωστόσο, ένας ερευνητής που εργάζεται στο Πανεπιστήμιο Carnegie Mellon ανακάλυψε έναν τρόπο να παρακάμψει τη διαδικασία εξουσιοδότησης SMS. Το αποτέλεσμα? Η δυνατότητα να αναζητήσετε την τοποθεσία οποιουδήποτε τηλεφώνου στις Η.Π.Α. χρησιμοποιώντας το εργαλείο επίδειξης στο διαδίκτυο.

Εύκολο στην εκμετάλλευση

Σύμφωνα με τον Robert Xiao από το Ινστιτούτο αλληλεπίδρασης ανθρώπου-υπολογιστή του Carnegie Mellon, βρήκε το σφάλμα κατά τύχη:

"Εγώ σκόνταψα σε αυτό σχεδόν τυχαία και δεν ήταν τρομερά δύσκολο να το κάνω.

"Αυτό είναι κάτι που θα μπορούσε κανείς να ανακαλύψει με ελάχιστη προσπάθεια. Και η ουσία είναι ότι μπορώ να παρακολουθώ τα κινητά τηλέφωνα των περισσότερων ανθρώπων χωρίς τη συγκατάθεσή τους. "

Στο λεπτομερές ιστολόγιο του Xiao σχετικά με το σφάλμα, εξηγεί ότι η εύκολη πραγματοποίηση αλλαγών στα αιτήματα Web του διαδικτύου επέτρεψε σε οποιονδήποτε να παρακάμψει την ανάγκη των χρηστών τηλεφώνου να εγκρίνουν μέσω SMS πριν παρακολουθούνται. Η Xiao εξέτασε το σφάλμα εντοπίζοντας το τηλέφωνο του φίλου του αρκετές φορές και με επιτυχία κατάφερε να τον εντοπίσει σε πραγματικό χρόνο. "Αυτό είναι πραγματικά ανατριχιαστικό υλικό", σχολίασε.

Ο Xiao εξήγησε επίσης αυτό "επειδή είναι βασισμένη σε φορέα, λειτουργεί ανεξάρτητα από το λειτουργικό σύστημα τηλεφώνου ή τις ρυθμίσεις απορρήτου στη συσκευή. Δεν υπάρχει δυνατότητα εξαίρεσης".

Ο Mario Proietti, Διευθύνων Σύμβουλος της LocationSmart, δήλωσε ότι η εταιρεία θα ξεκινήσει έρευνα για το τι συνέβη. Το εργαλείο επίδειξης έχει ήδη καταργηθεί από τον ιστότοπο. Σύμφωνα με τον Proietti, το API διατέθηκε μόνο για "νόμιμους και εγκεκριμένους σκοπούς". Μιλώντας για την υπηρεσία, σχολίασε:

"Βασίζεται στη νόμιμη και εξουσιοδοτημένη χρήση των δεδομένων τοποθεσίας που πραγματοποιούνται μόνο με τη συναίνεση. Λαμβάνουμε σοβαρά υπόψη την ιδιωτικότητα και θα εξετάσουμε όλα τα γεγονότα και θα εξετάσουμε τα πράγματα. "

Η ιδιωτικότητα παραβιάστηκε

Ο γερουσιαστής Ρον Γουάινν εξέφρασε εκ νέου την οργή του με τον αδιάφορο τρόπο ότι τα δεδομένα των καταναλωτών αντιμετωπίζονται από τις εταιρείες τηλεπικοινωνιών και τα τρίτα μέρη με τα οποία συνεργάζονται:

"Αυτή η διαρροή, έρχεται μόνο λίγες μέρες μετά την έκθεση του Securus, δείχνει πόσο λίγες εταιρείες σε όλο το ασύρματο οικοσύστημα εκτιμούν την ασφάλεια των Αμερικανών. Αντιπροσωπεύει έναν σαφή και σημερινό κίνδυνο όχι μόνο για την προστασία της ιδιωτικής ζωής αλλά για την οικονομική και προσωπική ασφάλεια κάθε αμερικανικής οικογένειας.

"Επειδή εκτιμούν κέρδη πάνω από την ιδιωτικότητα και την ασφάλεια των Αμερικανών των οποίων οι τοποθεσίες κυκλοφορούν, οι ασύρματοι μεταφορείς και το LocationSmart φαίνεται να έχουν επιτρέψει σχεδόν σε κάθε χάκερ με βασικές γνώσεις ιστοσελίδων για να παρακολουθήσουν την τοποθεσία οποιουδήποτε αμερικανικού με κινητό".

Νομική γκρίζα περιοχή

Ο Krebs πλησίασε τους τέσσερις φορείς κινητής τηλεφωνίας που συμμετείχαν, αλλά όλοι αρνήθηκαν να επιβεβαιώσουν ή να αρνηθούν ότι είχαν συνεργαστεί με το LocationSmart. Αν και δεν επιβεβαιώνεται, ο Krebs ισχυρίζεται ότι είναι πιθανό το demo να είναι διαθέσιμο για εκμετάλλευση ήδη από το 2011 και σίγουρα από τον Ιανουάριο του 2017.

Σύμφωνα με τον πληρεξούσιο του προσωπικού του Electronic Frontier Foundation, οι επιχειρήσεις υποχρεούνται από τη νομοθεσία να τηρούν τα δεδομένα θέσης προκειμένου να το θέσουν στη διάθεση των υπηρεσιών έκτακτης ανάγκης. Ωστόσο, παραμένει μια γκρίζα περιοχή, είτε είναι νόμιμο για τους μεταφορείς να πωλούν τα στοιχεία αυτά και σε επιχειρήσεις όπως η LocationSmart και η Securus χωρίς να έχουν προηγουμένως λάβει άμεση άδεια από τους καταναλωτές. Ο Κρεμπς είπε:

"Μια εταιρεία τρίτου που διαρρέει πληροφορίες σχετικά με την τοποθεσία του πελάτη όχι μόνο θα σίγουρα παραβιάζει τις πολιτικές ιδιωτικής ζωής που έχουν ορίσει οι πάροχοι κινητής τηλεφωνίας, αλλά η έκθεση σε πραγματικό χρόνο αυτών των δεδομένων δημιουργεί σοβαρούς κινδύνους για την ιδιωτικότητα και την ασφάλεια για όλους σχεδόν τους πελάτες κινητής τηλεφωνίας στις Η.Π.Α.."

Προς το παρόν, θα πρέπει να περιμένουμε και να δούμε τι έρχεται από την έρευνα της FCC. Ωστόσο, ένα πράγμα είναι σίγουρο, αυτό δεν πρόκειται να βουρτσιστεί εύκολα κάτω από το χαλί.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me