forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в LocationSmart раскрывала местоположение клиенто..."
Отправлено opennews, 18-Май-18 11:37

В Web API, предоставляемом сервисом LocationSmart, выявлена (https://www.robertxiao.ca/hacking/locationsmart/) уязвимость, которая позволяла любому постороннему отслеживать местоположение смартфонов, подключенных к большинству крупных мобильных сетей США, включая таких операторов как AT&T, Sprint, T-Mobile и Verizon, а также канадских операторов Bell, Rogers и Telus.

Данные о местоположении раскрывались с точностью определения базовой станции (от сотен метров до нескольких километров). Через периодическое обращение к API имелась возможность отслеживать перемещение смартфонов в режиме реального времени. Данные о местоположении поступали в сервис LocationSmart в рамках партнёрских контрактов с мобильными операторами. По приблизительно оценке проблема могла затронуть около 200 млн абонентов различных операторов связи.

Проблема всплыла после анализа демонстрационного сайта, через который пользователь мог бесплатно протестировать работу сервиса и определить местоположение своего устройства. Для доступа к сервису пользователю требовалось зарегистрироваться на сайте, введя своё имя, email и номер телефона, а затем подтвердить запрос через SMS или обратный звонок. Как оказалось, данная проверка является лишь формальностью и не охватывает доступ к Web API.

Любой желающий мог отправить запрос к Web API, указав произвольный номер телефона на любой на своё усмотрение, и получить сведения о местоположении базовой станции, которая ближе всего находится к заданному устройству. При этом запросы могли отправляться анонимно и без указания параметров аутентификации. Используя выдаваемые координаты, исследователи смогли организовать отслеживания перемещения интересующих их телефонов и наглядно оценить перемещение абонента при помощи Google Maps. Точность определения координат телефона при тестировании абонентов различных операторов составила от 90 метров до 2.5 км.

В настоящее время демонстрационный сайт LocationSmart отключен. По словам директора LocationSmart (https://en.wikipedia.org/wiki/LocationSmart) компания серьёзно относится к конфиденциальности и сервис создавался исключительно для законных и разрешённых целей, а все факторы, способствовавшие возникновению инцидента будут подробно изучены.
При этом всего несколько дней назад был зафиксирован (https://arstechnica.com/information-technology/2018/05/compa... взлом мобильного оператора Securus, который использовался для предоставления связи в тюрьмах и предоставлял полиции инструменты для поиска украденных мобильных устройств. В качестве подтверждения взлома были опубликованы учётные данные 2800 пользователей системы, включающие email, адреса, номера телефонов и MD5-хэши паролей. Это не первый взлом Securus, в 2015 году злоумышленники
смогли (https://theintercept.com/2015/11/11/securus-hack-prison-phon... получить доступа к архиву из 70 млн записанных звонков осужденных, в том числе их переговоров с адвокатами. Ранее Securus также подвергался (https://www.nytimes.com/2018/05/10/technology/cellphone-trac... критике с позиции неконтролируемого доступа правоохранительных органов к данным о местоположении мобильных устройств.

URL: https://krebsonsecurity.com/2018/05/tracking-firm-locationsm.../
Новость: https://www.opennet.me/opennews/art.shtml?num=48620

Исходное сообщение
"Уязвимость в LocationSmart раскрывала местоположение клиенто..." Отправлено opennews, 18-Май-18 11:37
В Web API, предоставляемом сервисом LocationSmart, выявлена (https://www.robertxiao.ca/hacking/locationsmart/) уязвимость, которая позволяла любому постороннему отслеживать местоположение смартфонов, подключенных к большинству крупных мобильных сетей США, включая таких операторов как AT&T, Sprint, T-Mobile и Verizon, а также канадских операторов Bell, Rogers и Telus. Данные о местоположении раскрывались с точностью определения базовой станции (от сотен метров до нескольких километров). Через периодическое обращение к API имелась возможность отслеживать перемещение смартфонов в режиме реального времени. Данные о местоположении поступали в сервис LocationSmart в рамках партнёрских контрактов с мобильными операторами. По приблизительно оценке проблема могла затронуть около 200 млн абонентов различных операторов связи. Проблема всплыла после анализа демонстрационного сайта, через который пользователь мог бесплатно протестировать работу сервиса и определить местоположение своего устройства. Для доступа к сервису пользователю требовалось зарегистрироваться на сайте, введя своё имя, email и номер телефона, а затем подтвердить запрос через SMS или обратный звонок. Как оказалось, данная проверка является лишь формальностью и не охватывает доступ к Web API. Любой желающий мог отправить запрос к Web API, указав произвольный номер телефона на любой на своё усмотрение, и получить сведения о местоположении базовой станции, которая ближе всего находится к заданному устройству. При этом запросы могли отправляться анонимно и без указания параметров аутентификации. Используя выдаваемые координаты, исследователи смогли организовать отслеживания перемещения интересующих их телефонов и наглядно оценить перемещение абонента при помощи Google Maps. Точность определения координат телефона при тестировании абонентов различных операторов составила от 90 метров до 2.5 км. В настоящее время демонстрационный сайт LocationSmart отключен. По словам директора LocationSmart (https://en.wikipedia.org/wiki/LocationSmart) компания серьёзно относится к конфиденциальности и сервис создавался исключительно для законных и разрешённых целей, а все факторы, способствовавшие возникновению инцидента будут подробно изучены. При этом всего несколько дней назад был зафиксирован (https://arstechnica.com/information-technology/2018/05/compa... взлом мобильного оператора Securus, который использовался для предоставления связи в тюрьмах и предоставлял полиции инструменты для поиска украденных мобильных устройств. В качестве подтверждения взлома были опубликованы учётные данные 2800 пользователей системы, включающие email, адреса, номера телефонов и MD5-хэши паролей. Это не первый взлом Securus, в 2015 году злоумышленники смогли (https://theintercept.com/2015/11/11/securus-hack-prison-phon... получить доступа к архиву из 70 млн записанных звонков осужденных, в том числе их переговоров с адвокатами. Ранее Securus также подвергался (https://www.nytimes.com/2018/05/10/technology/cellphone-trac... критике с позиции неконтролируемого доступа правоохранительных органов к данным о местоположении мобильных устройств. URL: https://krebsonsecurity.com/2018/05/tracking-firm-locationsm.../ Новость: https://www.opennet.me/opennews/art.shtml?num=48620

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В Web API, предоставляемом сервисом LocationSmart, выявлена (https://www.robertxiao.ca/hacking/locationsmart/) 
> уязвимость, которая позволяла любому постороннему отслеживать местоположение смартфонов, 
> подключенных к большинству крупных мобильных сетей США, включая таких операторов как 
> AT&T, Sprint, T-Mobile и Verizon, а также канадских операторов Bell, Rogers 
> и Telus.

> Данные о местоположении раскрывались с точностью определения базовой станции (от сотен 
> метров до нескольких километров). Через периодическое обращение к API имелась возможность 
> отслеживать перемещение смартфонов в режиме реального времени. Данные о местоположении 
> поступали в сервис LocationSmart  в рамках партнёрских контрактов с мобильными 
> операторами. По приблизительно оценке проблема могла затронуть около 200 млн абонентов 
> различных операторов связи.

> Проблема всплыла после анализа демонстрационного сайта, через который пользователь мог 
> бесплатно протестировать работу сервиса и определить местоположение своего устройства. 
> Для доступа к сервису пользователю требовалось зарегистрироваться на сайте, введя своё 
> имя, email и номер телефона, а затем подтвердить запрос через SMS 
> или обратный звонок. Как оказалось, данная проверка является лишь формальностью и 
> не охватывает доступ к Web API.

> Любой желающий мог отправить запрос к Web API, указав произвольный номер телефона 
> на любой на своё усмотрение, и получить сведения о местоположении базовой 
> станции, которая ближе всего находится к заданному устройству. При этом запросы 
> могли отправляться анонимно и без указания параметров аутентификации. Используя выдаваемые 
> координаты, исследователи смогли организовать отслеживания перемещения интересующих 
> их телефонов и наглядно оценить перемещение абонента при помощи Google Maps. 
> Точность определения координат телефона при тестировании абонентов различных операторов 
> составила от 90 метров до 2.5 км.

> В настоящее время демонстрационный сайт LocationSmart отключен. По словам директора LocationSmart 
> (https://en.wikipedia.org/wiki/LocationSmart) компания серьёзно относится к конфиденциальности 
> и сервис создавался исключительно для законных и разрешённых целей, а все 
> факторы, способствовавшие возникновению инцидента будут подробно изучены.

> При этом всего несколько дней назад был зафиксирован (https://arstechnica.com/information-technology/2018/05/company-used-by-police-prisons-to-find-any-mobile-device-breached-again/) 
> взлом мобильного оператора Securus, который использовался для предоставления  связи в 
> тюрьмах и предоставлял полиции инструменты для поиска украденных мобильных устройств. 
>  В качестве подтверждения взлома были опубликованы учётные данные 2800 пользователей 
> системы, включающие email, адреса, номера телефонов и MD5-хэши паролей. Это не 
> первый взлом Securus, в 2015 году злоумышленники 
> смогли (https://theintercept.com/2015/11/11/securus-hack-prison-phone-company-exposes-thousands-of-calls-lawyers-and-clients/) 
> получить доступа к архиву из 70 млн записанных звонков осужденных, в 
> том числе их переговоров с адвокатами. Ранее Securus также подвергался (https://www.nytimes.com/2018/05/10/technology/cellphone-tracking-law-enforcement.html) 
> критике с позиции неконтролируемого доступа правоохранительных органов к данным о местоположении 
> мобильных устройств.

> URL: https://krebsonsecurity.com/2018/05/tracking-firm-locationsmart-leaked-location-data-for-customers-of-all-major-u-s-mobile-carriers-in-real-time-via-its-web-site/ 
 
> Новость: https://www.opennet.me/opennews/art.shtml?num=48620

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру