לפני שבוע הגיש הסנאטור האמריקני ג'ון ווידן תלונה רשמית ל- FCC על מערכת מעקב טלפונית שיכולה לשמש את המשטרה למעקב כמעט אחר כל טלפון בארה"ב. כעת התבררו עדויות ששירות מעקב טלפוני שני, מפחיד הרבה יותר, מאפשר כמעט לכל אחד לעקוב אחר הטלפונים הסלולריים של ארה"ב..


המערכת נקראת LocationSmart והיא שירות מעקב טלפוני שיכול לאתר את מיקום הטלפונים הסלולריים המחוברים לרשתות הספק השייכות ל- Verizon, AT&T, ספרינט ו- T-Mobile.

לא יאומן, חוקר האבטחה, בריאן קרבס, חשף כעת כי באג - שקל מאוד להשתמש בו - נמצא בהדגמה החינמית של כלי מעקב המיקומים..

ממשק API חופשי לשימוש זה, שהיה זמין באתר האינטרנט של LocationSmart עד לאחרונה, איפשר לאנשים עם עבודת ידע בסיסית בנושא קידוד לעקוב כמעט אחר כל טלפון סלולרי בארה"ב..

איפה אתה?

הדגמת מעקב אחר מיקום הייתה קיימת כדי לאפשר לצרכנים לבדוק את כדאיות הטכנולוגיה בכך שהיא מאפשרת להם לבדוק את מיקום הטלפון שלהם. זה עבד בכך שאפשר ללקוחות פוטנציאליים להזין את שמם, כתובת הדואר האלקטרוני ומספר הטלפון שלהם לטופס מקוון. לאחר מכן, המשתמש קיבל הודעת SMS המבקשת את רשותו לקירוב למיקום הטלפון שלו באמצעות משולש מגדל סלולרי.

עם זאת, חוקרת העובדת באוניברסיטת קרנגי מלון גילתה דרך לעקוף את תהליך אישור ה- SMS. התוצאה? היכולת לשאול את המיקום של כל טלפון בארה"ב באמצעות כלי הדגמה מקוון.

קל לניצול

לדברי רוברט שיאו מהמכון לאינטראקציה בין מחשבים אנושיים בין קרנגי מלון, הוא מצא את החיידק במקרה:

"מעדתי את זה כמעט במקרה, וזה לא היה קשה לעשות זאת.

"זה משהו שכל אחד יכול לגלות במינימום מאמץ. והעיקר הוא שאוכל לעקוב אחר הטלפונים הסלולריים של רוב האנשים ללא הסכמתם. "

בבלוג המפורט של שיאו על הבאג הוא מסביר כי קל לבצע שינויים בבקשות האינטרנט של ההדגמה אפשרו לכל אחד לעקוף את הצורך שמשתמשי הטלפון יאשרו באמצעות SMS לפני שיעקבו אחריהם. שיאו בדק את הבאג על ידי מעקב אחר הטלפון של חברו מספר פעמים והצליח לעקוב אחריו בזמן אמת. "אלה דברים ממש מצמררים," העיר.

שיאו גם הסביר את זה "מכיוון שמדובר בספק, הוא פועל ללא קשר למערכת ההפעלה של הטלפון או להגדרות הפרטיות בהתקן עצמו. אין שום אפשרות לביטול הסכמה".

מריו פרויטי, מנכ"ל LocationSmart התעדכן באומרו כי המשרד יפתח בחקירת מה שקרה. כלי ההדגמה כבר הוסר מהאתר. על פי Proietti, ה- API הועמד ל"מטרות לגיטימיות ומורשות "בלבד. הוא דיבר על השירות והעיר:

"זה מבוסס על שימוש לגיטימי ומורשה בנתוני מיקום שמתרחשים רק בהסכמה. אנו מתייחסים לפרטיות ברצינות, ונבדוק את כל העובדות ונבחן אותן. "

הפרות הפרה

הסנאטור רון ווידן הביע שוב את כעסו על הדרך המוחלטת שבה מטופלים נתונים צרכניים על ידי חברות הטלקום והצדדים השלישיים איתם הם עובדים:

"הדליפה הזו, שמגיעה רק ימים ספורים לאחר שנחשפה האבטחה הרפה בסיקורוס, ממחישה עד כמה חברות בכל רחבי המערכת האקולוגית האלחוטית מעריכים את הביטחון האמריקני. זה מהווה סכנה ברורה והווה, לא רק לפרטיות אלא לביטחון הכלכלי והאישי של כל משפחה אמריקאית.

"מכיוון שהם מעריכים רווחים מעל לפרטיותם ולבטיחותם של האמריקנים אשר את מיקומם הם עוברים תנועה, נראה כי הספקים האלחוטיים ו- LocationSmart אפשרו כמעט לכל האקר עם ידע בסיסי באתרי אינטרנט לעקוב אחר מיקומו של כל אמריקאי עם טלפון סלולרי."

אזור אפור משפטי

קרבס פנה לארבעת הספקים הסלולריים המעורבים אך כולם סירבו לאשר או להכחיש שהם עבדו עם LocationSmart. למרות שאינו מאושר, קרבס טוען כי יתכן שההדגמה זמינה לניצול כבר משנת 2011, ובהחלט מאז ינואר 2017.

על פי פרקליט הצוות של קרן האלקטרוניקה, חברות נדרשות על פי החוק לשמור על נתוני מיקום כדי להנגישם לשירותי החירום. עם זאת, זה נשאר אזור אפור בין אם זה חוקי לספקיות למכור גם נתונים אלה לחברות כמו LocationSmart ו- Securus מבלי לקבל תחילה אישור ישיר מהצרכנים. קרבס אמר:

"חברה של צד שלישי שמדלפת מידע על מיקום לקוחות לא רק שתפר כמעט ודאי את כל ספקי הסלולר שמדיניות הפרטיות המוצהרת היא בבעלותה, אלא שהחשיפה בזמן אמת של נתונים אלה מהווה סיכוני פרטיות ואבטחה חמורים כמעט לכל לקוחות הנייד בארה"ב.."

לעת עתה נצטרך לחכות ולראות מה עולה מהחקירה של ה- FCC. עם זאת, דבר אחד בטוח, זה לא יוברש בקלות מתחת לשטיח.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me