สัปดาห์ที่ผ่านมาวุฒิสมาชิกสหรัฐจอห์นไวเดนได้ร้องเรียนอย่างเป็นทางการต่อ FCC เกี่ยวกับระบบติดตามโทรศัพท์ที่ตำรวจสามารถใช้เพื่อติดตามโทรศัพท์เกือบทุกเครื่องในสหรัฐอเมริกา ขณะนี้มีหลักฐานปรากฏว่าบริการติดตามโทรศัพท์ที่น่ากลัวกว่าที่สองได้อนุญาตให้ใครก็ตามสามารถติดตามโทรศัพท์มือถือของสหรัฐอเมริกาได้.


ระบบนี้เรียกว่า LocationSmart และเป็นบริการติดตามโทรศัพท์ที่สามารถระบุตำแหน่งของโทรศัพท์มือถือที่เชื่อมต่อกับเครือข่ายผู้ให้บริการที่เป็นของ Verizon, AT&T, Sprint และ T-Mobile.

Brian Krebs นักวิจัยด้านความปลอดภัยเปิดเผยว่ามีข้อผิดพลาด - ซึ่งเป็นเรื่องง่ายมากที่จะใช้ประโยชน์ - พบในการสาธิตฟรีของเครื่องมือติดตามสถานที่.

API ที่ใช้งานได้ฟรีซึ่งมีอยู่ในเว็บไซต์ของ LocationSmart จนกระทั่งเมื่อไม่นานมานี้ได้อนุญาตให้ทุกคนมีความรู้เกี่ยวกับการเขียนโค้ดพื้นฐานเพื่อติดตามโทรศัพท์มือถือในสหรัฐอเมริกา.

คุณอยู่ที่ไหน?

มีการสาธิตการติดตามตำแหน่งเพื่อให้ผู้บริโภคตรวจสอบความมีชีวิตของเทคโนโลยีโดยอนุญาตให้พวกเขาตรวจสอบตำแหน่งของโทรศัพท์ของตัวเอง มันทำงานโดยให้ลูกค้าที่คาดหวังป้อนชื่อที่อยู่อีเมลและหมายเลขโทรศัพท์ของพวกเขาในรูปแบบออนไลน์ หลังจากนั้นผู้ใช้จะได้รับข้อความ SMS เพื่อขออนุญาตให้ประมาณตำแหน่งของโทรศัพท์โดยใช้การคำนวณเสาสัญญาณโทรศัพท์มือถือ.

อย่างไรก็ตามนักวิจัยที่ทำงานที่ Carnegie Mellon University ค้นพบวิธีการข้ามขั้นตอนการอนุมัติ SMS ผลลัพธ์? ความสามารถในการสอบถามตำแหน่งของโทรศัพท์ใด ๆ ในสหรัฐอเมริกาโดยใช้เครื่องมือสาธิตออนไลน์.

ง่ายต่อการใช้ประโยชน์

จากข้อมูลของ Robert Xiao จากสถาบันปฏิสัมพันธ์ระหว่างมนุษย์กับคอมพิวเตอร์ของ Carnegie Mellon เขาพบข้อผิดพลาดโดยบังเอิญ:

“ ฉันบังเอิญพบสิ่งนี้เกือบจะไม่ได้ตั้งใจและมันก็ยากที่จะทำ.

“ นี่คือสิ่งที่ทุกคนสามารถค้นพบได้ด้วยความพยายามน้อยที่สุด ส่วนสำคัญของมันคือฉันสามารถติดตามโทรศัพท์มือถือของคนส่วนใหญ่โดยไม่ได้รับความยินยอมจากพวกเขา”

ในบล็อกที่มีรายละเอียดเกี่ยวกับข้อผิดพลาดของ Xiao เขาอธิบายว่าง่ายต่อการเปลี่ยนแปลงการร้องขอทางเว็บของการสาธิตอนุญาตให้ทุกคนข้ามความจำเป็นสำหรับผู้ใช้โทรศัพท์เพื่ออนุมัติผ่านทาง SMS ก่อนที่จะถูกติดตาม Xiao ทดสอบข้อบกพร่องด้วยการติดตามโทรศัพท์ของเพื่อนหลายครั้งและสามารถติดตามเขาได้ในเวลาจริง “ นี่เป็นเรื่องน่าขนลุกจริงๆ” เขาให้ความเห็น.

เสี่ยวยังอธิบายว่า "เนื่องจากเป็นแบบผู้ให้บริการจึงทำงานได้โดยไม่คำนึงถึงระบบปฏิบัติการโทรศัพท์หรือการตั้งค่าความเป็นส่วนตัวในอุปกรณ์ ไม่มีความสามารถในการยกเลิก".

Mario Proietti ซีอีโอของ LocationSmart ได้บันทึกไว้เพื่อกล่าวว่า บริษัท จะเริ่มการสอบสวนว่าเกิดอะไรขึ้น เครื่องมือสาธิตถูกลบออกจากเว็บไซต์แล้ว ตาม Proietti API นั้นมีให้สำหรับ "วัตถุประสงค์ที่ถูกต้องตามกฎหมายและได้รับอนุญาต" เท่านั้น เมื่อพูดถึงบริการแล้วเขาแสดงความคิดเห็น:

“ ขึ้นอยู่กับการใช้ข้อมูลสถานที่อย่างถูกกฎหมายและได้รับอนุญาตซึ่งได้รับความยินยอมเท่านั้น เราให้ความสำคัญกับความเป็นส่วนตัวอย่างจริงจังและเราจะตรวจสอบข้อเท็จจริงทั้งหมดและตรวจสอบข้อเท็จจริงเหล่านั้น”

ละเมิดความเป็นส่วนตัว

วุฒิสมาชิกรอนไวเดนได้แสดงความโกรธอีกครั้งในวิธีที่ไม่สดใสซึ่งข้อมูลผู้บริโภคกำลังได้รับการปฏิบัติโดย บริษัท โทรคมนาคมและบุคคลที่สามที่พวกเขาทำงานด้วย:

“ การรั่วไหลนี้เกิดขึ้นเพียงไม่กี่วันหลังจากการรักษาความปลอดภัยที่หละหลวมของ Securus แสดงให้เห็นว่า บริษัท เล็ก ๆ ทั่วทั้งระบบนิเวศไร้สายให้ความสำคัญต่อความปลอดภัยของชาวอเมริกัน มันแสดงถึงอันตรายที่ชัดเจนและเป็นปัจจุบันไม่เพียง แต่เพื่อความเป็นส่วนตัว แต่ยังเพื่อความปลอดภัยทางการเงินและส่วนบุคคลของครอบครัวชาวอเมริกันทุกคน.

“ เนื่องจากพวกเขาให้ความสำคัญกับผลกำไรเหนือความเป็นส่วนตัวและความปลอดภัยของชาวอเมริกันซึ่งเป็นที่ตั้งของพวกเขาผู้ให้บริการเครือข่ายไร้สายและ LocationSmart จึงอนุญาตให้แฮกเกอร์เกือบทุกคนที่มีความรู้พื้นฐานของเว็บไซต์ติดตามตำแหน่งของคนอเมริกันด้วยโทรศัพท์มือถือ”

พื้นที่สีเทาทางกฎหมาย

Krebs ติดต่อผู้ให้บริการโทรศัพท์มือถือสี่รายที่เกี่ยวข้อง แต่ทุกคนปฏิเสธที่จะยืนยันหรือปฏิเสธว่าพวกเขาได้ทำงานกับ LocationSmart แม้ว่าจะยังไม่ได้รับการยืนยัน Krebs อ้างว่าเป็นไปได้ว่าการสาธิตได้เปิดให้ใช้ประโยชน์ตั้งแต่ต้นปี 2554 และแน่นอนตั้งแต่เดือนมกราคมปี 2560.

ตามที่พนักงานของมูลนิธิ Electronic Frontier Foundation ระบุว่า บริษัท ต่างๆจำเป็นต้องเก็บรักษาข้อมูลสถานที่เพื่อให้สามารถใช้บริการฉุกเฉินได้ อย่างไรก็ตามมันยังคงเป็นพื้นที่สีเทาไม่ว่าจะถูกกฎหมายหรือไม่สำหรับผู้ให้บริการที่จะขายข้อมูลนั้นให้กับ บริษัท เช่น LocationSmart และ Securus โดยไม่ได้รับอนุญาตโดยตรงจากผู้บริโภคก่อน Krebs กล่าวว่า:

"บริษัท บุคคลที่สามที่รั่วไหลข้อมูลสถานที่ตั้งของลูกค้าไม่เพียง แต่จะละเมิดผู้ให้บริการโทรศัพท์มือถือแต่ละรายเท่านั้นเอง แต่การเปิดเผยข้อมูลนี้แบบเรียลไทม์ทำให้เกิดความเสี่ยงด้านความเป็นส่วนตัวและความปลอดภัยสำหรับลูกค้ามือถือในสหรัฐอเมริกา."

สำหรับตอนนี้เราจะต้องรอดูว่าการสอบสวนของ FCC มีอะไรบ้าง อย่างไรก็ตามมีสิ่งหนึ่งที่แน่นอนว่าสิ่งนี้จะไม่ถูกแปรงได้อย่างง่ายดายใต้พรม.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me