Telefonsporingstjeneste LocationSmart eksponert API, slik at hvem som helst kan spore deg
En usikret produktdemo på nettstedet til telefongeolokasjonsfirmaet LocationSmart tillot enhver bruker å slå opp plasseringen til hvilket som helst vilkårlig mobiltelefonnummer uten å måtte oppgi et passord eller annen legitimasjon, ifølge en rapport fra veteranens sikkerhetsreporter Brian Krebs.
Under påtenkt bruk krever LocationSmart produktdemo potensielle kunder å oppgi måltelefonnummer, samt navn og e-postadresse. Demoen tekster deretter måltelefonnummeret først for å få samtykke til sporing, og svarer deretter med plasseringen og annen personlig identifiserbar informasjon i en tekst til måletelefonen.
Mer om cybersecurity
- Cybersikkerhet i 2020: Åtte skremmende spådommer
- De ti viktigste cyberangrepene i tiåret
- Slik blir du en cybersecurity-proff: Et jukseark
- Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag
Krebs siterer Robert Xiao, en sikkerhetsforsker ved Carnegie Mellon University, for å ha oppdaget at LocationSmarts demo ikke har noen beskyttelse mot brukere som direkte samhandler med API-en som driver den produktdemonstrasjonen, og potensielt lar ondsinnede brukere lete opp andres plassering. I tester indikerte Krebs at en kilde sa stedet som tilbys av tjenesten "kom innenfor 100 meter 91, 4 meter fra deres nåværende beliggenhet." Ved å samhandle direkte med API-en kan de ondsinnede aktørene omgå samtykketrinnet, ifølge Xiao.
Produktdemoen ble tatt ned i går etter avsløringen. LocationSmart hevder å ha tilgang til de fire store amerikanske transportørene, så vel som US Cellular, og de kanadiske transportørene Bell, Rogers og Telus.
Denne avsløringen følger en rapport i går som indikerte at Securus - et selskap som leverer sporingsverktøy for smarttelefoner for amerikansk rettshåndhevelse - ble hacket, med tusenvis av data, inkludert kontokreditt, som er lekket. Mens Securus fokuserte på rettshåndhevelsesmarkedet, var backend-tjenesteleverandøren av det selskapet LocationSmart, ifølge en ZDNet-rapport.
Forekomsten av begge tilfeller reiser det større spørsmålet om hvordan LocationSmart skaffer seg disse dataene til å begynne med. Kevin Bankston, direktør for New America's Open Technology Institute, antydet for ZDNet at loven om elektronisk kommunikasjon personvern bare forbyr telekom fra å røpe data til myndighetene, men tillater selskaper å utlevere det til andre selskaper. Ifølge Bankston kan lovhåndhevelse bruke det som smutthull ved å bruke selskaper som Securus som mellommann. Hvis vi antar at LocationSmart har et forretningsforhold med mobiloperatørene, vil denne sårbarheten utvilsomt gå over av deres personvernregler, for ikke å si noe om juridiske krav fra selskaper for å beskytte mot avsløring av personlig identifiserbar informasjon.
Denne typen identifikasjon er ikke mulig å deaktivere av brukeren - den er avhengig av triangulering av celletårnet, ikke GPS-funksjonen som finnes i smarttelefoner. Krebs siterer en advokat hos Electronic Frontier Foundation som sier at transportører er lovlig pålagt å være i stand til å bestemme den omtrentlige plasseringen av enheter for å overholde nød 911-forskrifter.
Verizon, AT&T, T-Mobile og Sprint ble kontaktet av TechRepublic om arten av deres forretningsforhold til LocationSecure, men svarte ikke innen pressetid.
De store takeawayene for teknologiledere:
- LocationSmart, leverandøren av det nylig hackede Securus, hadde et usikret API på deres nettsted som tillot ondsinnede brukere å spore hvilken som helst telefon i USA eller Canada.
- Denne typen identifikasjon er ikke mulig å deaktivere av brukeren - den er avhengig av triangulering av celletårnet, ikke GPS-funksjonen som finnes i smarttelefoner.
Cybersecurity Insider Nyhetsbrev
Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager
Registrer deg i dag
