Egy héttel ezelőtt John Wyden amerikai szenátor, hivatalos panaszt nyújtott be az FCC-hez egy telefonkövető rendszerről, amelyet a rendőrség felhasználhat az USA szinte bármilyen telefonjának nyomon követésére. Most bizonyítékok születtek arra, hogy egy második, sokkal félelmesebb telefonkövető szolgáltatás lehetővé tette szinte bárki számára az amerikai mobiltelefonok nyomon követését..


A rendszert LocationSmart néven hívják fel, és ez egy telefonkövetési szolgáltatás, amely meg tudja határozni a Verizon, AT-hoz tartozó hordozóhálózatokhoz csatlakoztatott mobiltelefonok helyét.&T, Sprint és T-Mobile.

Hihetetlenül Brian Krebs biztonsági kutató rámutatott, hogy egy hibát - amelyet rendkívül könnyű felhasználni - találtak a helymeghatározó eszköz ingyenes bemutatójában..

Ez a szabadon használható API, amely a közelmúltban volt elérhető a LocationSmart webhelyén, lehetővé tette az alapvető kódolási ismeretekkel rendelkezők számára, hogy nyomon kövessék az Egyesült Államok bármely mobiltelefonját..

Merre vagy?

A helymeghatározó bemutató létezett annak érdekében, hogy a fogyasztók ellenőrizhessék a technológia életképességét, lehetővé téve számukra, hogy ellenőrizzék saját telefonjuk helyét. Úgy működött, hogy hagyta, hogy a leendő vásárlók online űrlapba írják be nevét, e-mail címét és telefonszámát. Ezt követően a felhasználó SMS-t kapott, amelyben engedélyt kért telefonja helyzetének közelítésére a cellatorony-háromszögelés segítségével.

A Carnegie Mellon Egyetemen dolgozó kutató azonban felfedezte a módját az SMS engedélyezési folyamat megkerülésére. Az eredmény? Lehetőség arra, hogy lekérdezzen bármely telefon helyét az Egyesült Államokban az online demonstrációs eszköz segítségével.

Könnyen kihasználható

Robert Xiao szerint a Carnegie Mellon Human-Computer Interaction Institute-ból véletlenül találta meg a hibát:

„Szinte véletlenül belebotlottam ehhez, és nem volt ilyen nehéz.

„Ez valami, amit minimális erőfeszítéssel bárki felfedezhet. És lényege, hogy a legtöbb ember mobiltelefonját beleegyezése nélkül nyomon tudom követni. ”

A Xiao hibájáról szóló részletes blogjában elmagyarázza, hogy a bemutató webes kéréseinek egyszerű végrehajtása lehetővé tette bárkinek, hogy megkerülje annak szükségességét, hogy a telefon használói SMS-ben jóváhagyják a nyomon követést. Xiao kipróbálta a hibát barátja telefonjának többszörös nyomon követésével, és sikeresen követte őt valós időben. "Ez tényleg hátborzongató cucc" - kommentálta.

Xiao ezt is magyarázta "Mivel ez szolgáltató-alapú, függetlenül a telefon operációs rendszerétől vagy magán az eszköz adatvédelmi beállításaitól működik. Nincs lehetőség az opt-out használatára".

Mario Proietti, a LocationSmart vezérigazgatója feljegyezték, hogy a cég kivizsgálást fog kezdeményezni az eseményről. A bemutató eszközt már eltávolították a webhelyről. Proietti szerint az API-t csak „törvényes és engedélyezett célokra” tették elérhetővé. A szolgáltatásról beszélt:

„Ez a helymeghatározási adatok legitim és engedélyezett felhasználására épül, amelyre csak beleegyezés alapján kerül sor. Komolyan vesszük az adatvédelmet, áttekintettük az összes tényt és megvizsgáljuk azokat. ”

Az adatvédelem megsértett

Ron Wyden szenátor ismét kifejezésre juttatta a haragját az a gyenge módszer, hogy a fogyasztói adatokat a telekommunikációs társaságok és a harmadik felek kezelik:

„Ez a szivárgás, csak néhány nappal azután, hogy a Securusi biztonságtalan biztonságot felfedték, azt mutatja, hogy a vezeték nélküli ökoszisztéma egész területén kevés vállalat értékeli az amerikai biztonságot. Ez egyértelmű és jelenlegi veszélyt jelent, nem csupán a magánélet védelme, hanem minden amerikai család pénzügyi és személyes biztonsága szempontjából.

"Mivel úgy ítélik meg, hogy a profitot az amerikaiak adatvédelme és biztonsága fölött értékelik, akiknek a telephelyén forgalmat keresnek, úgy tűnik, hogy a vezeték nélküli hordozók és a LocationSmart szinte minden hackert lehetővé tettek, akik alapvető ismeretekkel rendelkeznek a weboldalakon, hogy nyomon követhessék bármely amerikai mobiltelefonját."

Jogi szürke terület

Krebs felkereste a négy érintett mobiltelefon-hordozót, de mindegyikük megtagadta annak megerősítését vagy tagadását, hogy a LocationSmart-nal együttműködtek. Annak ellenére, hogy nem erősítették meg, Krebs azt állítja, hogy lehetséges, hogy a bemutató már 2011 óta, és mindenképpen 2017. január óta elérhető volt..

Az Electronic Frontier Foundation munkatársa szerint a törvények kötelezik a cégeket a helymeghatározási adatok megőrzésére annak érdekében, hogy azokat a sürgősségi szolgálatok rendelkezésére bocsássák. Szürke terület marad, hogy jogszerű-e a fuvarozóknak ezeket az adatokat olyan helyiségeknek is eladni, mint például a LocationSmart és a Securus, anélkül, hogy a fogyasztóktól közvetlen engedélyt kapnának. Krebs azt mondta:

"Az ügyfelek helymeghatározására vonatkozó információ kiszivárgása nemcsak szinte minden bizonnyal megsérti az egyes mobilszolgáltatók saját bejelentett adatvédelmi irányelveit, hanem ezen adatok valós idejű feltárása komoly adatvédelmi és biztonsági kockázatokat jelent gyakorlatilag az Egyesült Államok mobiltelefon-ügyfeleinek.."

Egyelőre meg kell várnunk, és megnézhetjük az FCC vizsgálatának eredményeit. Egy dolog azonban biztos, hogy ezt nem fogja könnyedén lemosni a szőnyeg alá.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me