Seminggu yang lalu senator AS John Wyden mengajukan keluhan resmi kepada FCC tentang sistem pelacakan telepon yang dapat digunakan oleh polisi untuk melacak hampir semua telepon di AS. Sekarang, bukti telah muncul bahwa layanan pelacakan telepon kedua, jauh lebih menakutkan, telah mengizinkan siapa saja untuk melacak ponsel AS.


Sistem ini disebut LocationSmart, dan ini adalah layanan pelacakan telepon yang dapat menunjukkan dengan tepat lokasi ponsel yang terhubung ke jaringan operator milik Verizon, AT&T, Sprint, dan T-Mobile.

Luar biasa, peneliti keamanan, Brian Krebs, kini telah mengungkapkan bahwa bug - yang sangat mudah untuk dieksploitasi - telah ditemukan di demo gratis alat pelacak lokasi.

Itu gratis untuk menggunakan API, yang tersedia di situs LocationSmart hingga saat ini, telah mengizinkan siapa pun dengan pekerjaan pengetahuan pengkodean dasar untuk melacak hampir semua ponsel di AS.

Dimana kamu?

Demo pelacakan lokasi ada untuk memungkinkan konsumen memeriksa kelayakan teknologi dengan mengizinkan mereka memeriksa lokasi ponsel mereka sendiri. Ini berhasil dengan membiarkan calon pelanggan memasukkan nama, alamat email, dan nomor telepon mereka ke dalam formulir online. Setelah itu, pengguna menerima pesan SMS yang meminta izin mereka untuk memperkirakan posisi ponsel mereka menggunakan triangulasi menara sel.

Namun, seorang peneliti yang bekerja di Universitas Carnegie Mellon menemukan cara untuk mem-bypass proses otorisasi SMS. Hasil? Kemampuan untuk menanyakan lokasi telepon mana pun di AS menggunakan alat demo online.

Mudah dieksploitasi

Menurut Robert Xiao dari Human-Computer Interaction Institute Carnegie Mellon, ia menemukan bug itu secara kebetulan:

“Saya menemukan ini hampir secara tidak sengaja, dan itu tidak terlalu sulit untuk dilakukan.

“Ini adalah sesuatu yang bisa ditemukan siapa pun dengan sedikit usaha. Dan intinya adalah saya dapat melacak ponsel kebanyakan orang tanpa persetujuan mereka. "

Dalam blog terperinci Xiao tentang bug itu, ia menjelaskan bahwa mudah untuk melakukan perubahan pada permintaan Web demo memungkinkan siapa saja untuk mengabaikan kebutuhan pengguna ponsel untuk menyetujui melalui SMS sebelum dilacak. Xiao menguji bug dengan melacak ponsel temannya beberapa kali dan berhasil melacaknya secara real time. "Ini benar-benar hal yang menyeramkan," katanya.

Xiao juga menjelaskan itu "karena ini berbasis operator, ia berfungsi terlepas dari sistem operasi ponsel atau pengaturan privasi pada perangkat itu sendiri. Tidak ada kemampuan untuk memilih keluar".

Mario Proietti, CEO LocationSmart, telah mencatat untuk mengatakan bahwa perusahaan akan meluncurkan penyelidikan atas apa yang terjadi. Alat demo telah dihapus dari situs web. Menurut Proietti, API dibuat hanya untuk "tujuan yang sah dan sah". Berbicara tentang layanan ini, ia berkomentar:

“Ini didasarkan pada penggunaan data lokasi yang sah dan resmi yang hanya terjadi atas persetujuan. Kami memperlakukan privasi dengan serius, dan kami akan meninjau semua fakta dan memeriksanya. "

Privasi dilanggar

Senator Ron Wyden sekali lagi menyatakan kemarahannya pada cara data konsumen diperlakukan oleh perusahaan telekomunikasi dan pihak ketiga tempat mereka bekerja:

“Kebocoran ini, terjadi hanya beberapa hari setelah keamanan yang lemah di Securus terungkap, menunjukkan betapa sedikit perusahaan di seluruh ekosistem nirkabel yang menghargai keamanan Amerika. Ini mewakili bahaya yang jelas dan saat ini, tidak hanya untuk privasi tetapi untuk keamanan finansial dan pribadi setiap keluarga Amerika.

"Karena mereka menghargai keuntungan di atas privasi dan keselamatan orang Amerika yang lokasi mereka lalu lintas, operator nirkabel dan LocationSmart tampaknya telah memungkinkan hampir semua peretas dengan pengetahuan dasar situs web untuk melacak lokasi setiap orang Amerika dengan ponsel."

Area abu-abu legal

Krebs mendekati empat operator seluler yang terlibat tetapi semuanya menolak untuk mengkonfirmasi atau menyangkal bahwa mereka telah bekerja dengan LocationSmart. Meskipun belum dikonfirmasi, Krebs mengklaim bahwa ada kemungkinan bahwa demo telah tersedia untuk dieksploitasi sejak awal 2011, dan pasti sejak Januari 2017.

Menurut pengacara staf Electronic Frontier Foundation, perusahaan diharuskan oleh hukum untuk menyimpan data lokasi untuk membuatnya tersedia untuk layanan darurat. Namun, tetap menjadi wilayah abu-abu apakah sah bagi operator untuk juga menjual data itu ke perusahaan seperti LocationSmart dan Securus tanpa terlebih dahulu mendapatkan izin langsung dari konsumen. Krebs berkata:

"Perusahaan pihak ketiga yang membocorkan informasi lokasi pelanggan tidak hanya hampir pasti akan melanggar kebijakan privasi masing-masing penyedia layanan seluler yang dinyatakan, tetapi paparan waktu-nyata dari data ini menimbulkan risiko privasi dan keamanan yang serius untuk hampir semua pelanggan seluler A.S.."

Untuk saat ini, kami harus menunggu dan melihat apa yang datang dari penyelidikan FCC. Namun, satu hal yang pasti, ini tidak akan mudah disikat di bawah karpet.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me