一周前,美國參議員約翰·懷登 (John Wyden) 正式發表聲明抱怨向聯邦通信委員會 (FCC) 詢問電話跟踪系統,警方可以使用該系統跟踪美國境內的幾乎所有手機。現在,有證據表明,第二種更可怕的電話跟踪服務已經允許幾乎任何人跟踪美國手機。
該系統名為 LocationSmart,是一項電話跟踪服務,可以精確定位連接到 Verizon 運營商網絡的手機的位置,美國電話電報公司、Sprint 和 T-Mobile。
令人難以置信的是,安全研究員 Brian Krebs 現在已經透露在位置跟踪工具的免費演示中發現了一個非常容易被利用的錯誤。
直到最近,LocationSmart 網站上還提供免費使用的 API,任何具有基本編碼知識的人都可以跟踪美國的幾乎任何手機。
你在哪裡?
位置跟踪演示的存在是為了讓消費者通過檢查自己手機的位置來檢查該技術的可行性。它的工作原理是讓潛在客戶在在線表格中輸入姓名、電子郵件地址和電話號碼。隨後,用戶收到一條短信,請求他們允許使用手機信號塔三角測量來估算手機的位置。
然而,卡內基梅隆大學的一位研究人員發現了一種繞過短信授權過程的方法。結果呢?能夠使用在線演示工具查詢美國任何手機的位置。
容易被利用
卡內基梅隆大學的羅伯特·肖表示人機交互研究所,他偶然發現了這個bug:
“我幾乎是偶然發現了這一點,而且這並不難做到。
“這是任何人都可以輕鬆發現的東西。其要點是我可以在未經他們同意的情況下跟踪大多數人的手機。”
在肖老師的詳細介紹中關於該錯誤的博客,他解釋說,對演示的 Web 請求進行簡單的更改允許任何人在被跟踪之前繞過電話用戶通過 SMS 批准的必要性。肖通過多次跟踪他朋友的手機來測試該漏洞,並成功地實時跟踪他。 “這真是令人毛骨悚然的事情,”他評論道。
肖還解釋說,“因為這是基於運營商的,所以無論手機操作系統或設備本身的隱私設置如何,它都可以工作。沒有能力選擇退出”。
LocationSmart 首席執行官 Mario Proietti 公開表示,該公司將對所發生的事情展開調查。該演示工具已從網站上刪除。 Proietti 表示,該 API 僅供“合法且授權的目的”使用。談到服務,他評論道:
“它基於對位置數據的合法和授權使用,並且只有在同意的情況下才會進行。我們認真對待隱私,我們將審查所有事實並進行調查。”
隱私遭到侵犯
參議員羅恩·懷登(Ron Wyden)再次對電信公司及其合作的第三方處理消費者數據的方式平淡無奇表示憤怒:
“此次洩密事件發生在 Securus 鬆懈的安全措施被曝光幾天后,表明整個無線生態系統中很少有公司重視美國人的安全。這不僅對隱私而且對每個美國家庭的財務和個人安全都構成了明顯而現實的威脅。
“由於他們將利潤置於其所在位置的美國人的隱私和安全之上,因此無線運營商和 LocationSmart 似乎允許幾乎任何具有網站基本知識的黑客通過手機跟踪任何美國人的位置。”
法律灰色地帶
克雷布斯聯繫了涉案的四家手機運營商,但他們都拒絕證實或否認他們曾與 LocationSmart 合作。儘管未經證實,克雷布斯聲稱該演示版本可能早在 2011 年就已經可供利用,而且肯定是從 2017 年 1 月開始。
據電子前沿基金會的專職律師稱,法律要求公司保留位置數據,以便將其提供給緊急服務。然而,運營商在未事先獲得消費者直接許可的情況下將這些數據出售給 LocationSmart 和 Securus 等公司是否合法,仍然是一個灰色地帶。克雷布斯說:
“第三方公司洩露客戶位置信息不僅幾乎肯定會違反每個移動提供商自己規定的隱私政策,而且這些數據的實時暴露給幾乎所有美國移動客戶帶來了嚴重的隱私和安全風險。”
目前,我們必須等待 FCC 的調查結果。然而,有一件事是肯定的,這不會輕易被掩蓋。