Pirms nedēļas ASV senators Džons Velins iesniedza oficiālu sūdzību FCC par tālruņu izsekošanas sistēmu, kuru policija var izmantot, lai izsekotu gandrīz jebkuru tālruni ASV. Tagad ir parādījušies pierādījumi, ka otrais, daudz drausmīgākais tālruņu izsekošanas pakalpojums, gandrīz ikvienam ļauj izsekot ASV mobilajiem tālruņiem..


Sistēmu sauc par LocationSmart, un tas ir tālruņu izsekošanas pakalpojums, kas var precīzi noteikt mobilo tālruņu atrašanās vietu, kas savienoti ar mobilo sakaru operatora tīkliem, kas pieder Verizon, AT&T, Sprint un T-Mobile.

Neticami, drošības pētnieks Braiens Krebs tagad ir atklājis, ka kļūda - kuru ir ārkārtīgi viegli izmantot - ir atrasta atrašanās vietas izsekošanas rīka bezmaksas demonstrācijā..

Šis brīvi izmantojamais API, kas vēl nesen bija pieejams LocationSmart vietnē, ļāva ikvienam, kuram ir pamata kodēšanas zināšanas, izsekot gandrīz jebkuram mobilajam tālrunim ASV.

Kur tu esi?

Atrašanās vietas noteikšanas demonstrācija pastāvēja, lai ļautu patērētājiem pārbaudīt tehnoloģijas dzīvotspēju, ļaujot viņiem pārbaudīt sava tālruņa atrašanās vietu. Tas darbojās, ļaujot potenciālajiem klientiem tiešsaistes formā ievadīt savu vārdu, e-pasta adresi un tālruņa numuru. Pēc tam lietotājs saņēma SMS īsziņu, kurā lūdza atļauju tuvināt sava tālruņa atrašanās vietu, izmantojot šūnu torņa triangulāciju.

Tomēr Kārnegi Melona universitātē strādājošais pētnieks atklāja veidu, kā apiet SMS autorizācijas procesu. Rezultāts? Iespēja vaicāt jebkura tālruņa atrašanās vietu ASV, izmantojot tiešsaistes demonstrācijas rīku.

Viegli izmantojams

Kā pastāstīja Roberts Sjao no Kārnegija Melona Cilvēka un datora mijiedarbības institūta, viņš kļūdu atrada nejauši:

“Es to gandrīz nejauši paklupa, un tas nebija briesmīgi grūti izdarāms.

“Tas ir kaut kas, ko ikviens varēja atklāt ar minimālām pūlēm. Un galvenais ir tas, ka es varu izsekot vairumam cilvēku mobilo tālruņu bez viņu piekrišanas. ”

Siao detalizētajā emuārā par kļūdu viņš skaidro, ka viegli veikt izmaiņas demonstrācijas tīmekļa pieprasījumos ļāva ikvienam apiet nepieciešamību tālruņa lietotājiem apstiprināt ar īsziņas palīdzību pirms izsekošanas. Sjao pārbaudīja kļūdu, vairākas reizes izsekojot sava drauga tālruni, un veiksmīgi varēja izsekot viņu reāllaikā. "Tas ir patiešām trakulīgs sīkums," viņš komentēja.

Sjao to arī paskaidroja "tā kā tas ir balstīts uz mobilo sakaru operatoru, tas darbojas neatkarīgi no tālruņa operētājsistēmas vai pašas ierīces konfidencialitātes iestatījumiem. Nav iespējas atteikties".

Mario Proietti, LocationSmart izpilddirektors, ir pieteicies, ka firma uzsāks izmeklēšanu par notikušo. Demonstrācijas rīks jau ir noņemts no vietnes. Pēc Proietti teiktā, API bija pieejama tikai “likumīgiem un atļautiem mērķiem”. Runājot par pakalpojumu, viņš komentēja:

“Tas ir balstīts uz likumīgu un atļautu atrašanās vietas datu izmantošanu, kas notiek tikai ar piekrišanu. Mēs nopietni uztveram privātumu, un mēs pārskatīsim visus faktus un tos izpētīsim. ”

Konfidencialitātes pārkāpums

Senators Rons Velins atkal ir paudis dusmas par to, ka telekomunikāciju uzņēmumi un trešās puses, ar kurām viņi sadarbojas, apstrādā nepilnīgi patērētājus:

“Šī noplūde, kas notika tikai dažas dienas pēc tam, kad tika atklāta nedrošā Securus drošība, parāda, cik maz uzņēmumu visā bezvadu ekosistēmā vērtē amerikāņu drošību. Tas ir skaidrs un pašreizējs briesmas ne tikai privātumam, bet arī katras amerikāņu ģimenes finansiālajai un personiskajai drošībai.

"Tā kā bezvadu pārvadātāji un LocationSmart novērtē peļņu virs amerikāņu, kuru atrašanās vietās viņi pārvietojas, privātuma un drošības, šķiet, ka gandrīz ikvienam hakerim ar pamatzināšanām vietnēs ir atļauts izsekot jebkura amerikāņa atrašanās vietu, izmantojot mobilo tālruni."

Juridiskā pelēkā zona

Krebs vērsās pie četriem iesaistītajiem mobilo tālruņu pārvadātājiem, taču visi atteicās apstiprināt vai noliegt, ka ir strādājuši ar LocationSmart. Lai arī tas nav apstiprināts, Krebs apgalvo, ka ir iespējams, ka demonstrācija ir bijusi izmantojama jau kopš 2011. gada un noteikti kopš 2017. gada janvāra..

Saskaņā ar Electronic Frontier Foundation darbinieku advokātu, likumi nosaka, ka firmām ir jāuzglabā atrašanās vietas dati, lai tie būtu pieejami neatliekamās palīdzības dienestiem. Tomēr joprojām ir pelēkā zona, vai pārvadātājiem ir likumīgi pārdot šos datus arī tādām firmām kā LocationSmart un Securus, vispirms nesaņemot tiešu patērētāju atļauju. Krebs sacīja:

"Trešās puses uzņēmums, kas noplūst ar informāciju par klientu atrašanās vietu, ne tikai gandrīz noteikti pārkāpj katra mobilo pakalpojumu sniedzēja noteikto privātuma politiku, bet šo datu atklāšana reāllaikā rada nopietnus privātuma un drošības riskus praktiski visiem ASV mobilajiem klientiem.."

Pagaidām mums būs jāgaida un jāredz, kas nāk no FCC izmeklēšanas. Tomēr viena lieta ir pārliecināta, ka to nebūs viegli notīrīt zem paklāja.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me