Pred tednom dni je ameriški senator John Wyden uradno vložil pritožbo na FCC glede sistema za sledenje telefonom, ki ga lahko policija uporablja za sledenje skoraj vsakemu telefonu v ZDA. Zdaj so se pojavili dokazi, da je druga, veliko bolj grozljiva storitev sledenja telefonom skoraj vsakomur dovolila sledenje ameriškim mobilnim telefonom.


Sistem se imenuje LocationSmart in je storitev sledenja telefona, ki lahko natančno določi lokacijo mobilnih telefonov, povezanih z omrežji prevoznikov, ki pripadajo Verizon, AT&T, Sprint in T-Mobile.

Neverjetno, raziskovalec varnosti, Brian Krebs, je zdaj razkril, da je bil v brezplačni predstavitvi orodja za sledenje lokacije najden hrošč - ki ga je izjemno enostavno izkoristiti..

Ta brezplačna uporaba API-ja, ki je bil do nedavnega na voljo na spletnem mestu LocationSmart, je dovoljeval vsem, ki imajo osnovno znanje o kodiranju, slediti skoraj vsem mobilnim telefonom v ZDA.

Kje si?

Demo sistem za sledenje lokaciji je obstajal, da bi potrošnikom omogočili preverjanje sposobnosti preživetja tehnologije, tako da so jim omogočili preverjanje lokacije svojega telefona. To je delovalo tako, da so bodočim strankam dovolili, da v spletni obrazec vpišejo svoje ime, elektronski naslov in telefonsko številko. Po tem je uporabnik prejel SMS sporočilo, v katerem prosi za dovoljenje, da približa položaj svojega telefona z uporabo triagulacije mobilnega stolpa.

Vendar je raziskovalec na univerzi Carnegie Mellon odkril način, kako zaobiti postopek avtorizacije SMS. Rezultat? Možnost poizvedovanja o lokaciji katerega koli telefona v ZDA z uporabo spletnega predstavitvenega orodja.

Enostaven za uporabo

Kot je povedal Robert Xiao iz Inštituta za človeško-računalniško interakcijo Carnegie Mellon, je hrošča našel po naključju:

"Naletel sem na to skoraj po naključju, in to ni bilo grozno težko storiti.

"To je nekaj, kar bi lahko vsakdo odkril z minimalnimi napori. In bistvo tega je, da lahko brez njihovega privoljenja sledim mobilnim telefonom večine ljudi. "

V Xiao-ovem podrobnem blogu o napaki pojasnjuje, da je enostavno izvajanje sprememb demo demo zahtevkov po spletu omogočilo, da so kdorkoli mimo potrebe po odobritvi uporabnikov telefonov prek SMS-ja pred sledenjem. Xiao je hrošča preizkusil tako, da je večkrat sledil telefonu njegovega prijatelja in ga uspešno spremljal v realnem času. "To so res grozne stvari," je komentiral.

To je pojasnil tudi Xiao "ker ta temelji na operaterju, deluje ne glede na operacijski sistem telefona ali nastavitve zasebnosti na sami napravi. Ni se mogoče odjaviti".

Mario Proietti, izvršni direktor LocationSmart, je zapisal, da bo podjetje začelo preiskavo tega, kar se je zgodilo. Demo orodje je že odstranjeno s spletnega mesta. Po besedah ​​Proiettija je bil API na voljo samo za „zakonite in pooblaščene namene“. Ko je govoril o storitvi, je komentiral:

"Temelji na zakoniti in dovoljeni uporabi lokacijskih podatkov, ki poteka le s soglasjem. Zasebnost jemljemo resno in pregledali bomo vsa dejstva ter jih preučili. "

Kršena zasebnost

Senator Ron Wyden je znova izrazil jezo zaradi slabega načina, kako telekomunikacijska podjetja obravnavajo podatke o potrošnikih in tretje osebe, s katerimi sodelujejo:

"Ta puščanje, ki je prišlo le nekaj dni po tem, ko je bila izpostavljena ohlapna varnost v Securusu, dokazuje, kako malo podjetij v brezžičnem ekosistemu ceni Američane. Predstavlja jasno in sedanjo nevarnost, ne le za zasebnost, temveč za finančno in osebno varnost vsake ameriške družine.

"Ker vrednotijo ​​dobiček nad zasebnostjo in varnostjo Američanov, na katerih lokacijah prometujejo, se zdi, da so brezžični prevozniki in LocationSmart skoraj vsakemu hekerju z osnovnim znanjem spletnih mest omogočili, da z mobilnim telefonom izsledi lokacijo katerega koli Američana."

Pravno sivo območje

Krebs se je obrnil na štiri vpletene ponudnike mobilnih telefonov, vendar so vsi zavrnili potrditev ali zanikanje, da so sodelovali z LocationSmartom. Čeprav nepotrjeno, Krebs trdi, da je možno, da je demo na voljo za izkoriščanje že od leta 2011 in vsekakor od januarja 2017.

Po navedbah uslužbencev ustanove Electronic Frontier Foundation morajo podjetja po zakonu hraniti podatke o lokaciji, da jih dajo na voljo službam za nujne primere. Vendar ostaja sivo območje, ali je zakonito, da prevozniki prodajo te podatke tudi podjetjem, kot sta LocationSmart in Securus, ne da bi prej pridobili neposredno dovoljenje potrošnikov. Krebs je rekel:

"Podjetje tretjih podjetij, ki pušča podatke o lokaciji kupcev, ne samo, da bi gotovo zagotovo kršilo lastne navedene pravilnike o zasebnosti, temveč izpostavljenost teh podatkov v realnem času predstavlja resna tveganja za zasebnost in varnost za skoraj vse ameriške mobilne stranke."

Za zdaj bomo morali počakati in videti, kaj bo prišlo do preiskave FCC. Toda eno je gotovo, tega ne bo enostavno krtačiti pod preprogo.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me