Website bug laat mensen Amerikaanse mobiele telefoons volgen zonder toestemming

Een week geleden diende de Amerikaanse senator John Wyden bij de FCC een officiële klacht in over een telefoonvolgsysteem dat door de politie kan worden gebruikt om bijna elke telefoon in de VS te volgen. Nu is er bewijs naar voren gekomen dat een tweede, veel angstaanjagende telefoontrackingservice bijna iedereen in staat heeft gesteld Amerikaanse mobiele telefoons te volgen.

Het systeem heet LocationSmart en het is een telefoontrackingservice die de locatie kan bepalen van mobiele telefoons die zijn aangesloten op carriernetwerken van Verizon, AT&T, Sprint en T-Mobile.

Ongelooflijk, beveiligingsonderzoeker, Brian Krebs, heeft nu onthuld dat een bug - die uiterst eenvoudig te exploiteren is - is gevonden in de gratis demo van de locatietrackingtool.

Die gratis te gebruiken API, die tot voor kort beschikbaar was op de website van LocationSmart, stond iedereen met een basiskennis van codeerkennis toe om vrijwel elke mobiele telefoon in de VS te volgen.

Waar ben jij?

De demo voor locatietracking bestond om consumenten in staat te stellen de levensvatbaarheid van de technologie te controleren door hen in staat te stellen de locatie van hun eigen telefoon te controleren. Het werkte door potentiële klanten hun naam, e-mailadres en telefoonnummer in een online formulier te laten invoeren. Hierna ontving de gebruiker een sms-bericht met het verzoek om toestemming om de positie van zijn telefoon te benaderen met behulp van cell tower-triangulatie.

Een onderzoeker aan de Carnegie Mellon University ontdekte echter een manier om het sms-autorisatieproces te omzeilen. Het resultaat? De mogelijkheid om de locatie van elke telefoon in de VS op te vragen met behulp van de online demo-tool.

Makkelijk te exploiteren

Volgens Robert Xiao van het Human-Computer Interaction Institute van Carnegie Mellon vond hij de bug toevallig:

"Ik kwam dit bijna per ongeluk tegen, en het was niet zo moeilijk om te doen.

“Dit is iets dat iedereen met minimale inspanning zou kunnen ontdekken. En de kern ervan is dat ik de mobiele telefoons van de meeste mensen kan volgen zonder hun toestemming. '

In het gedetailleerde blog van Xiao over de bug legt hij uit dat gemakkelijk door wijzigingen in de webverzoeken van de demo door te voeren, iedereen de noodzaak voor telefoongebruikers kon omzeilen om via sms goed te keuren voordat ze worden gevolgd. Xiao testte de bug door de telefoon van zijn vriend een aantal keren te volgen en kon hem met succes in realtime volgen. "Dit is echt enge dingen," merkte hij op.

Xiao heeft dat ook uitgelegd "omdat dit op providers is gebaseerd, werkt het ongeacht het besturingssysteem van de telefoon of de privacy-instellingen op het apparaat zelf. Er is geen mogelijkheid om u af te melden".

Mario Proietti, de CEO van LocationSmart, heeft bekendgemaakt dat het bedrijf een onderzoek zal starten naar wat er is gebeurd. De demo-tool is al van de website verwijderd. Volgens Proietti is de API alleen beschikbaar gesteld voor "legitieme en geautoriseerde doeleinden". Over de dienst gesproken, merkte hij op:

“Het is gebaseerd op legitiem en geautoriseerd gebruik van locatiegegevens die alleen plaatsvinden na toestemming. We nemen privacy serieus en we zullen alle feiten bekijken en onderzoeken. "

Privacy geschonden

Senator Ron Wyden heeft opnieuw zijn woede geuit over de flauwe manier waarop consumentengegevens worden behandeld door telecombedrijven en de derde partijen waarmee ze samenwerken:

“Dit lek, dat slechts enkele dagen na de lakse beveiliging bij Securus aan het licht kwam, toont aan hoe kleine bedrijven in het hele draadloze ecosysteem de veiligheid van Amerikanen waarderen. Het vormt een duidelijk en aanwezig gevaar, niet alleen voor de privacy, maar ook voor de financiële en persoonlijke veiligheid van elk Amerikaans gezin.

"Omdat ze waarde hechten aan winst boven de privacy en veiligheid van de Amerikanen wier locaties ze bezoeken, lijken de draadloze providers en LocationSmart bijna elke hacker met een basiskennis van websites in staat te stellen om de locatie van elke Amerikaan met een mobiele telefoon te volgen."

Juridisch grijs gebied

Krebs benaderde de vier betrokken mobiele telefoonaanbieders, maar ze weigerden allemaal te bevestigen of te ontkennen dat ze met LocationSmart hadden gewerkt. Hoewel niet bevestigd, beweert Krebs dat het mogelijk is dat de demo al sinds 2011 beschikbaar is en zeker sinds januari 2017.

Volgens de stafofficier van Electronic Frontier Foundation zijn bedrijven wettelijk verplicht locatiegegevens te bewaren om ze beschikbaar te maken voor hulpdiensten. Het blijft echter een grijs gebied of het legaal is voor vervoerders om die gegevens ook te verkopen aan bedrijven zoals LocationSmart en Securus zonder eerst de directe toestemming van consumenten te hebben verkregen. Krebs zei:

"Een extern bedrijf dat klantlocatie-informatie lekt, zou niet alleen vrijwel zeker in strijd zijn met het privacybeleid van elke mobiele provider, maar de realtime blootstelling van deze gegevens vormt ernstige privacy- en beveiligingsrisico's voor vrijwel alle Amerikaanse mobiele klanten.."

Voor nu zullen we moeten afwachten wat er van het onderzoek van de FCC komt. Eén ding is echter zeker, dit gaat niet gemakkelijk onder het tapijt worden geborsteld.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me