Telefonsporingstjeneste LocationSmart eksponert API, slik at hvem som helst kan spore deg

Tre fjerdedeler av Android-apper sporer omvendt brukere Det er en god sjanse for at minst en populær app på enheten din sporer deg.

En usikret produktdemo på nettstedet til telefongeolokasjonsfirmaet LocationSmart tillot enhver bruker å slå opp plasseringen til hvilket som helst vilkårlig mobiltelefonnummer uten å måtte oppgi et passord eller annen legitimasjon, ifølge en rapport fra veteranens sikkerhetsreporter Brian Krebs.

Under påtenkt bruk krever LocationSmart produktdemo potensielle kunder å oppgi måltelefonnummer, samt navn og e-postadresse. Demoen tekster deretter måltelefonnummeret først for å få samtykke til sporing, og svarer deretter med plasseringen og annen personlig identifiserbar informasjon i en tekst til måletelefonen.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Krebs siterer Robert Xiao, en sikkerhetsforsker ved Carnegie Mellon University, for å ha oppdaget at LocationSmarts demo ikke har noen beskyttelse mot brukere som direkte samhandler med API-en som driver den produktdemonstrasjonen, og potensielt lar ondsinnede brukere lete opp andres plassering. I tester indikerte Krebs at en kilde sa stedet som tilbys av tjenesten "kom innenfor 100 meter 91, 4 meter fra deres nåværende beliggenhet." Ved å samhandle direkte med API-en kan de ondsinnede aktørene omgå samtykketrinnet, ifølge Xiao.

Produktdemoen ble tatt ned i går etter avsløringen. LocationSmart hevder å ha tilgang til de fire store amerikanske transportørene, så vel som US Cellular, og de kanadiske transportørene Bell, Rogers og Telus.

Denne avsløringen følger en rapport i går som indikerte at Securus - et selskap som leverer sporingsverktøy for smarttelefoner for amerikansk rettshåndhevelse - ble hacket, med tusenvis av data, inkludert kontokreditt, som er lekket. Mens Securus fokuserte på rettshåndhevelsesmarkedet, var backend-tjenesteleverandøren av det selskapet LocationSmart, ifølge en ZDNet-rapport.

Forekomsten av begge tilfeller reiser det større spørsmålet om hvordan LocationSmart skaffer seg disse dataene til å begynne med. Kevin Bankston, direktør for New America's Open Technology Institute, antydet for ZDNet at loven om elektronisk kommunikasjon personvern bare forbyr telekom fra å røpe data til myndighetene, men tillater selskaper å utlevere det til andre selskaper. Ifølge Bankston kan lovhåndhevelse bruke det som smutthull ved å bruke selskaper som Securus som mellommann. Hvis vi antar at LocationSmart har et forretningsforhold med mobiloperatørene, vil denne sårbarheten utvilsomt gå over av deres personvernregler, for ikke å si noe om juridiske krav fra selskaper for å beskytte mot avsløring av personlig identifiserbar informasjon.

Denne typen identifikasjon er ikke mulig å deaktivere av brukeren - den er avhengig av triangulering av celletårnet, ikke GPS-funksjonen som finnes i smarttelefoner. Krebs siterer en advokat hos Electronic Frontier Foundation som sier at transportører er lovlig pålagt å være i stand til å bestemme den omtrentlige plasseringen av enheter for å overholde nød 911-forskrifter.

Verizon, AT&T, T-Mobile og Sprint ble kontaktet av TechRepublic om arten av deres forretningsforhold til LocationSecure, men svarte ikke innen pressetid.

De store takeawayene for teknologiledere:
  • LocationSmart, leverandøren av det nylig hackede Securus, hadde et usikret API på deres nettsted som tillot ondsinnede brukere å spore hvilken som helst telefon i USA eller Canada.
  • Denne typen identifikasjon er ikke mulig å deaktivere av brukeren - den er avhengig av triangulering av celletårnet, ikke GPS-funksjonen som finnes i smarttelefoner.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com