Pred týždňom podal americký senátor John Wyden oficiálnu sťažnosť FCC na systém sledovania telefónu, ktorý môže polícia použiť na sledovanie takmer akéhokoľvek telefónu v USA. Teraz sa objavili dôkazy, že druhá, oveľa desivejšia služba sledovania telefónov, povoľuje takmer každému, kto sleduje americké mobilné telefóny..

Tento systém sa nazýva LocationSmart a je to služba sledovania telefónov, ktorá dokáže určiť polohu mobilných telefónov pripojených k sieťam operátora patriacich Verizon, AT&T, Sprint a T-Mobile.

Výskumník v oblasti bezpečnosti, Brian Krebs, teraz neuveriteľne odhalil, že na bezplatnej ukážke nástroja na sledovanie polohy sa našla chyba, ktorú je možné veľmi ľahko zneužiť..

Toto bezplatné používanie rozhrania API, ktoré bolo k dispozícii na webových stránkach LocationSmart až donedávna, umožňovalo každému so základnými znalosťami kódovania sledovať takmer akýkoľvek mobilný telefón v USA..

Kde si?

Ukazovateľ sledovania polohy existoval, aby spotrebiteľom umožnil skontrolovať životaschopnosť technológie tým, že im umožnil skontrolovať polohu svojho vlastného telefónu. Fungovalo to tým, že sa potenciálnym zákazníkom umožnilo zadať svoje meno, e-mailovú adresu a telefónne číslo do online formulára. Následne dostal užívateľ správu SMS s požiadavkou na povolenie aproximácie polohy telefónu pomocou triangulácie mobilnej veže.


Výskumník pracujúci na Carnegie Mellon University však objavil spôsob, ako obísť proces autorizácie SMS. Výsledok? Schopnosť zisťovať polohu ľubovoľného telefónu v USA pomocou online demo nástroja.

Ľahko sa využíva

Podľa Roberta Xiaa z Carnegie Mellon z Human-Computer Interaction Institute, našiel chybu náhodou:

"Narazil som na to takmer náhodou, a nebolo to strašne ťažké.".

„To je niečo, čo by niekto mohol nájsť s minimálnym úsilím. A podstatou toho je, že môžem sledovať mobilné telefóny väčšiny ľudí bez ich súhlasu. “

V podrobnom blogu spoločnosti Xiao o chybe vysvetľuje, že ľahké vykonanie zmien webových požiadaviek dema umožnilo komukoľvek obísť nutnosť, aby používatelia telefónov predtým, ako budú sledovaní, schválili prostredníctvom SMS. Xiao testoval chybu sledovaním telefónu svojho priateľa niekoľkokrát a podarilo sa mu ho sledovať v reálnom čase. "Toto sú skutočne strašidelné veci," poznamenal.

Xiao to tiež vysvetlil "pretože je to založené na operátorovi, funguje nezávisle od operačného systému telefónu alebo nastavení ochrany osobných údajov na samotnom zariadení. Neexistuje možnosť odhlásenia".

Mario Proietti, generálny riaditeľ spoločnosti LocationSmart, zaznamenal, že firma začne vyšetrovanie toho, čo sa stalo. Demo nástroj už bol z webu odstránený. Podľa spoločnosti Proietti bolo API sprístupnené iba na „legitímne a autorizované účely“. Keď hovoril o službe, uviedol:

„Vychádza z legitímneho a autorizovaného použitia údajov o polohe, ktoré sa uskutočňuje iba so súhlasom. Ochrana osobných údajov berieme vážne a preskúmame všetky fakty a preskúmame ich. “

Ochrana osobných údajov bola porušená

Senátor Ron Wyden opäť vyjadril svoj hnev nad nevýrazným spôsobom, akým telekomunikačné spoločnosti a tretie strany, s ktorými spolupracujú, spracovávajú údaje o spotrebiteľoch:

„Tento únik, ktorý nastane iba niekoľko dní po odhalení laxného zabezpečenia v Securus, ukazuje, ako málo spoločností v celom bezdrôtovom ekosystéme oceňuje bezpečnosť Američanov. Predstavuje jasné a súčasné nebezpečenstvo nielen pre súkromie, ale aj pre finančnú a osobnú bezpečnosť každej americkej rodiny.

„Pretože bezdrôtové operátory a LocationSmart si cenia zisky nad súkromím a bezpečnosťou Američanov, v ktorých prevádzkach sa pohybujú, zdá sa, že takmer každému hackerovi so základnou znalosťou webových stránok umožnili sledovať polohu ktoréhokoľvek Američana pomocou mobilného telefónu.“

Legálna šedá oblasť

Krebs sa priblížil k štyrom zúčastneným mobilným telefónom, ale všetci odmietli potvrdiť alebo poprieť, že spolupracovali s LocationSmart. Aj keď to nie je potvrdené, Krebs tvrdí, že je možné, že sa demo začalo využívať už od roku 2011 a určite od januára 2017..

Podľa zástupcu zamestnancov agentúry Electronic Frontier Foundation sú firmy povinné zo zákona uchovávať údaje o polohe, aby ich mohli sprístupniť pohotovostným službám. Zostáva však sivou oblasťou, či je pre dopravcov zákonné, aby tieto údaje predávali aj firmám, ako je LocationSmart a Securus, bez toho, aby najprv získali priame povolenie od spotrebiteľov. Krebs povedal:

"Spoločnosť tretej strany, ktorá zverejňuje informácie o polohe zákazníka, by s najväčšou pravdepodobnosťou porušila vlastné pravidlá ochrany osobných údajov každého poskytovateľa mobilných služieb, ale vystavenie týchto údajov v reálnom čase predstavuje vážne riziká pre súkromie a bezpečnosť prakticky pre všetkých mobilných zákazníkov v USA.."

Zatiaľ budeme musieť počkať a uvidíme, čo bude výsledkom vyšetrovania komisie FCC. Jedno je však isté, toto sa nebude ľahko čistiť pod koberec.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me