Преди седмица американският сенатор Джон Уайдън направи официално оплакване пред FCC за система за проследяване на телефона, която може да се използва от полицията за проследяване на почти всеки телефон в САЩ. Сега се появиха доказателства, че втора, много по-ужасяваща услуга за проследяване на телефони, позволява на почти всеки да проследява мобилни телефони в САЩ.


Системата се нарича LocationSmart и е услуга за проследяване на телефона, която може да определи местоположението на мобилни телефони, свързани към мрежи от оператори, принадлежащи на Verizon, AT&T, спринт и T-Mobile.

Невероятно, изследователят по сигурността Брайън Кребс разкри, че в безплатната демонстрация на инструмента за проследяване на местоположението е открита грешка - която е изключително лесна за експлоатация..

Този свободен за използване API, който беше достъпен на уебсайта на LocationSmart доскоро, позволяваше на всеки с основни познания за кодиране да следи почти всеки мобилен телефон в САЩ.

Къде си?

Демонстрацията за проследяване на местоположението съществуваше, за да позволи на потребителите да проверяват жизнеспособността на технологията, като им позволяват да проверяват местоположението на собствения си телефон. Той работи, като позволява на бъдещите клиенти да въведат своето име, имейл адрес и телефонен номер в онлайн форма. След това потребителят получи SMS съобщение с молба за разрешението си да сближи позицията на телефона си с помощта на триъгълност на клетъчната кула.

Въпреки това, изследовател, работещ в университета Карнеги Мелън, откри начин да заобиколи процеса на разрешаване на SMS. Резултатът? Възможността за търсене на местоположението на който и да е телефон в САЩ с помощта на онлайн демонстрационния инструмент.

Лесен за експлоатация

Според Робърт Сяо от Института за взаимодействие между хората и компютъра на Карнеги Мелън, той открил грешката случайно:

„Попаднах на това почти случайно и не беше ужасно трудно да се направи.

„Това е нещо, което всеки би могъл да открие с минимални усилия. И същността на това е, че мога да проследя мобилните телефони на повечето хора без тяхното съгласие. "

В подробния блог на Xiao за грешката той обяснява, че лесното извършване на промени в заявките за демо на уеб позволява на всеки да заобиколи необходимостта на потребителите на телефона да одобряват чрез SMS, преди да бъдат проследени. Xiao тества грешката, като проследява телефона на приятеля си няколко пъти и успешно успя да го проследява в реално време. „Това наистина е страховито нещо“, коментира той.

Сяоо също обясни това "тъй като това се базира на оператора, той работи независимо от операционната система на телефона или настройките за поверителност на самото устройство. Няма възможност за отказ".

Марио Проеети, изпълнителен директор на LocationSmart, продължи да пише, че фирмата ще започне разследване за случилото се. Демонстрационният инструмент вече е премахнат от уебсайта. Според Proietti, API е бил предоставен само за „законни и разрешени цели“. Говорейки за услугата, той коментира:

„Тя се основава на законно и разрешено използване на данни за местоположение, което се осъществява само при съгласие. Ние се отнасяме сериозно към поверителността и ще прегледаме всички факти и ще ги разгледаме. “

Поверителност е нарушена

Сенаторът Рон Уайдън отново изрази гнева си по погрешния начин, че данните за потребителите се обработват от телекомуникационните компании и третите страни, с които работят:

„Това изтичане, идващо само дни след разрушаването на сигурността в Секурус, показва колко малко компании в цялата безжична екосистема ценят сигурността на американците. Той представлява ясна и настояща опасност не само за личния живот, но и за финансовата и личната сигурност на всяко американско семейство.

„Тъй като те ценят печалбите над поверителността и безопасността на американците, в чиито местоположения те извършват трафик, изглежда, че безжичните оператори и LocationSmart са позволили на почти всеки хакер с основни познания в уебсайтове да проследява местоположението на всеки американец с мобилен телефон.“

Легална сива зона

Кребс се свърза с четиримата участващи мобилни оператори, но всички отказаха да потвърдят или отрекат, че са работили с LocationSmart. Въпреки че не е потвърден, Krebs твърди, че е възможно демото да е достъпно за експлоатация още от 2011 г. и определено от януари 2017 г..

Според служителя на адвоката на фондацията Electronic Frontier, фирмите са задължени по закон да съхраняват данни за местоположението, за да ги предоставят на спешните служби. Въпреки това, сивата зона остава дали е законно превозвачите също да продават тези данни на фирми като LocationSmart и Securus, без предварително да получат пряко разрешение от потребителите. Кребс каза:

"Фирма на трета страна, изтичаща информация за местоположението на клиентите, не само почти сигурно ще наруши собствените заявени политики за поверителност, но излагането в реално време на тези данни крие сериозни рискове за поверителност и сигурност за почти всички клиенти на мобилни устройства в САЩ."

Засега ще трябва да изчакаме и да видим какво идва от разследването на FCC. Едно обаче е сигурно, че това няма да бъде лесно изчеткано под килима.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me