Prije tjedan dana američki senator John Wyden uputio je službenu žalbu FCC-u zbog sustava praćenja telefona koji policija može koristiti za praćenje gotovo bilo kojeg telefona u SAD-u. Sada su se pojavili dokazi da druga, puno zastrašujuća usluga praćenja telefona, dopušta gotovo svima da prate američke mobitele.


Sustav se zove LocationSmart, a to je usluga praćenja telefona koja može odrediti lokaciju mobitela spojenih na mreže mobilnih operatera koji pripadaju Verizonu, AT&T, Sprint i T-Mobile.

Nevjerojatno, sigurnosni istraživač, Brian Krebs, otkrio je sada da je greška - koju je izuzetno lako iskoristiti - pronađena u besplatnoj demo alatki za praćenje lokacije.

Taj besplatni API, koji je donedavno bio dostupan na web lokaciji LocationSmart, dozvoljavao je svima s osnovnim znanjem kodiranja da prate gotovo sve mobitele u SAD-u..

Gdje si?

Demo praćenje lokacije postojalo je kako bi se omogućilo potrošačima da provjere održivost tehnologije, dopuštajući im da provjere lokaciju svog vlastitog telefona. To je uspjelo puštajući potencijalnim kupcima da u internetski obrazac unesu svoje ime, adresu e-pošte i telefonski broj. Nakon toga, korisnik je primio SMS poruku tražeći dopuštenje za približavanje položaja svog telefona pomoću triangulacije mobilnog tornja.

Međutim, istraživač sa Sveučilišta Carnegie Mellon otkrio je način kako zaobići postupak autorizacije SMS-a. Rezultat? Mogućnost postavljanja upita bilo kojeg telefona u SAD-u pomoću internetskog demo alata.

Lako je iskoristiti

Prema Robertu Xiau iz Instituta za interakciju čovjeka i računala Carnegie Mellon, greška je pronašla slučajno:

"Naišao sam na to gotovo slučajno, a to nije bilo strašno teško.

„To je nešto što bi svatko mogao otkriti s minimalnim naporom. A suština je u tome što mogu pratiti mobitele većine ljudi bez njihovog pristanka. "

U Xiao-ovom detaljnom blogu o pogrešci, on objašnjava da je lako izvesti izmjene na demo zahtjevima za web omogućilo bilo kome da zaobiđe potrebu da ga korisnici telefona odobre putem SMS-a prije praćenja. Xiao je testirao bugu prateći telefon svog prijatelja nekoliko puta i uspješno ga je mogao pratiti u stvarnom vremenu. "Ovo su zaista jezive stvari", komentirao je.

Xiao je to također objasnio "jer je ovo temeljeno na operateru, djeluje bez obzira na operativni sustav telefona ili postavke privatnosti na samom uređaju. Nema mogućnosti odustajanja".

Mario Proietti, izvršni direktor LocationSmart-a nastavio je s tvrdnjom da će tvrtka pokrenuti istragu o tome što se dogodilo. Demo alat već je uklonjen s web stranice. Prema Proiettiju, API je bio dostupan samo u "zakonite i ovlaštene svrhe". Govoreći o usluzi, komentirao je:

"Temelji se na legitimnom i ovlaštenom korištenju podataka o lokaciji koji se odvijaju samo uz pristanak. Ozbiljno shvaćamo privatnost i pregledat ćemo sve činjenice i proučiti ih. "

Povreda privatnosti

Senator Ron Wyden ponovno je izrazio bijes zbog nepristojnog načina na koji potrošačke podatke tretiraju telekomunikacijske kompanije i treće strane s kojima rade:

"Ovaj propust, koji dolazi samo nekoliko dana nakon što je lažna sigurnost u Securusu bila izložena, pokazuje koliko male kompanije širom bežičnog ekosustava cijene sigurnost Amerikanaca. Predstavlja jasnu i sadašnju opasnost, ne samo za privatnost, već i za financijsku i osobnu sigurnost svake američke obitelji.

"Budući da cijene profit iznad privatnosti i sigurnosti Amerikanaca na čijim lokacijama prometuju, čini se da su bežični nosači i LocationSmart omogućili gotovo svakom hakeru s osnovnim poznavanjima web stranica da pomoću mobitela prati lokaciju bilo kojeg Amerikanca."

Legal siva zona

Krebs je prišao četvorici uključenih operatora mobitela, ali svi su odbili potvrditi ili negirati da su surađivali s LocationSmartom. Iako nepotvrđeno, Krebs tvrdi da je moguće da se demo mogao eksploatirati već od 2011., a definitivno od siječnja 2017. godine.

Prema odvjetniku osoblja Zaklade Electronic Frontier, zakonske su mjere da tvrtke moraju čuvati podatke o lokaciji kako bi ih postale dostupne hitnim službama. Međutim, i dalje je sivo područje je li legalno da prijevoznici također prodaju te podatke tvrtkama kao što su LocationSmart i Securus, a da prethodno nisu dobili izravno dopuštenje potrošača. Krebs je rekao:

"Poduzeće treće strane koje propušta informacije o lokaciji korisnika ne samo da će gotovo sigurno prekršiti sva navedena vlastita pravila o privatnosti, već izloženost ovih podataka u stvarnom vremenu predstavlja ozbiljan rizik za privatnost i sigurnost za gotovo sve američke korisnike mobilnih uređaja."

Za sada ćemo morati pričekati i vidjeti što dolazi od istrage FCC-a. Međutim, jedno je sigurno, to neće biti lako četkati pod tepih.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me