Telefonsporingstjeneste LocationSmart eksponeret API, så enhver kan spore dig

Tre fjerdedele af Android-apps sporrer skjult brugere Der er en god chance for, at mindst en populær app på din enhed sporer dig.

En usikret produktdemo på webstedet for telefongeolocationfirmaet LocationSmart gjorde det muligt for enhver bruger at finde stedet for ethvert vilkårligt mobiltelefonnummer uden at skulle angive en adgangskode eller andre legitimationsoplysninger, ifølge en rapport fra veteranens sikkerhedsreporter Brian Krebs.

Under påtænkt drift kræver LocationSmart-produktdemo, at potentielle kunder indtaster måltelefonnummeret samt et navn og e-mail-adresse. Demoen tekster derefter måltelefonnummeret først for at få samtykke til sporing og svarer derefter med placeringen og andre personligt identificerbare oplysninger i en tekst til måletelefonen.

Mere om cybersikkerhed

  • Cybersikkerhed i 2020: Otte skræmmende forudsigelser
  • De ti vigtigste cyberangreb i årtiet
  • Sådan bliver du en cybersecurity-pro: Et snyderi
  • Den berømte con mand Frank Abagnale: Kriminalitet er 4.000 gange lettere i dag

Krebs citerer Robert Xiao, en sikkerhedsforsker ved Carnegie Mellon University, som at have opdaget, at LocationSmarts demo ikke har nogen beskyttelse mod brugere, der direkte interagerer med API, der driver denne produktdemo, hvilket potentielt giver ondsindede brugere mulighed for at finde andres placering. I test indikerede Krebs, at en kilde sagde, at tjenestens placering "kom inden for 100 yards 91, 4 meter fra deres daværende nuværende placering." Ved direkte at interagere med API'en kan de ondsindede aktører omgå godkendelsestrinnet ifølge Xiao.

Produktdemo blev fjernet i går efter afsløringen. LocationSmart hævder at have adgang til de fire store amerikanske luftfartsselskaber såvel som US Cellular og de canadiske luftfartsselskaber Bell, Rogers og Telus.

Denne åbenbaring fulgte en rapport i går, der indikerede, at Securus - et firma, der leverer smartphone-sporingsværktøjer til amerikansk retshåndhævelse - blev hacket med tusinder af data, inklusive kontooplysninger, lækket. Mens Securus fokuserede på retshåndhævelsesmarkedet, var backend-tjenesteudbyderen af ​​dette firma LocationSmart, ifølge en ZDNet-rapport.

Forekomsten af ​​begge sager rejser det større spørgsmål om, hvordan LocationSmart indhenter disse data til at begynde med. Kevin Bankston, direktør for New America's Open Technology Institute, oplyste overfor ZDNet, at den elektroniske kommunikationslovgivning kun forbyder telekommunikation at videregive data til regeringen, men tillader virksomheder at videregive dem til andre virksomheder. Ifølge Bankston kan retshåndhævelse bruge det som et smuthul ved at bruge virksomheder som Securus som formidler. Hvis vi antager, at LocationSmart har et forretningsforhold til mobiltelefonselskaberne, ville denne sårbarhed utvivlsomt løbe dårligt af deres privatlivspolitik for ikke at sige noget om juridiske krav fra virksomheder til at beskytte mod videregivelse af personligt identificerbare oplysninger.

Denne type identifikation er ikke muligt at deaktivere af brugeren - den er afhængig af triangulering af celletårn, ikke GPS-funktionen, der findes i smartphones. Krebs citerer en advokat hos Electronic Frontier Foundation med at oplyse, at transportører er lovligt forpligtet til at være i stand til at bestemme den omtrentlige placering af enheder for at overholde 911-reglerne.

Verizon, AT&T, T-Mobile og Sprint blev kontaktet af TechRepublic om arten af ​​deres forretningsforhold med LocationSecure, men svarede ikke inden pressetid.

De store takeaways for tech-ledere:
  • LocationSmart, sælgeren af ​​det for nylig hackede Securus, havde et usikret API på deres websted, som gjorde det muligt for ondsindede brugere at spore enhver telefon i USA eller Canada.
  • Denne type identifikation er ikke muligt at deaktivere af brugeren - den er afhængig af triangulering af celletårn, ikke GPS-funktionen, der findes i smartphones.

Cybersecurity Insider Nyhedsbrev

Styrke din organisations IT-sikkerhedsforsvar ved at holde dig ajour med de seneste cybersecurity-nyheder, løsninger og bedste praksis. Leveres tirsdage og torsdage

Tilmeld dig i dag

© Copyright 2021 | mobilegn.com