В Web API, предоставляемом сервисом LocationSmart, выявлена (https://www.robertxiao.ca/hacking/locationsmart/) уязвимость, которая позволяла любому постороннему отслеживать местоположение смартфонов, подключенных к большинству крупных мобильных сетей США, включая таких операторов как AT&T, Sprint, T-Mobile и Verizon, а также канадских операторов Bell, Rogers и Telus.
Данные о местоположении раскрывались с точностью определения базовой станции (от сотен метров до нескольких километров). Через периодическое обращение к API имелась возможность отслеживать перемещение смартфонов в режиме реального времени. Данные о местоположении поступали в сервис LocationSmart в рамках партнёрских контрактов с мобильными операторами. По приблизительно оценке проблема могла затронуть около 200 млн абонентов различных операторов связи.
Проблема всплыла после анализа демонстрационного сайта, через который пользователь мог бесплатно протестировать работу сервиса и определить местоположение своего устройства. Для доступа к сервису пользователю требовалось зарегистрироваться на сайте, введя своё имя, email и номер телефона, а затем подтвердить запрос через SMS или обратный звонок. Как оказалось, данная проверка является лишь формальностью и не охватывает доступ к Web API.
Любой желающий мог отправить запрос к Web API, указав произвольный номер телефона на любой на своё усмотрение, и получить сведения о местоположении базовой станции, которая ближе всего находится к заданному устройству. При этом запросы могли отправляться анонимно и без указания параметров аутентификации. Используя выдаваемые координаты, исследователи смогли организовать отслеживания перемещения интересующих их телефонов и наглядно оценить перемещение абонента при помощи Google Maps. Точность определения координат телефона при тестировании абонентов различных операторов составила от 90 метров до 2.5 км.
В настоящее время демонстрационный сайт LocationSmart отключен. По словам директора LocationSmart (https://en.wikipedia.org/wiki/LocationSmart) компания серьёзно относится к конфиденциальности и сервис создавался исключительно для законных и разрешённых целей, а все факторы, способствовавшие возникновению инцидента будут подробно изучены.
При этом всего несколько дней назад был зафиксирован (https://arstechnica.com/information-technology/2018/05/compa... взлом мобильного оператора Securus, который использовался для предоставления связи в тюрьмах и предоставлял полиции инструменты для поиска украденных мобильных устройств. В качестве подтверждения взлома были опубликованы учётные данные 2800 пользователей системы, включающие email, адреса, номера телефонов и MD5-хэши паролей. Это не первый взлом Securus, в 2015 году злоумышленники
смогли (https://theintercept.com/2015/11/11/securus-hack-prison-phon... получить доступа к архиву из 70 млн записанных звонков осужденных, в том числе их переговоров с адвокатами. Ранее Securus также подвергался (https://www.nytimes.com/2018/05/10/technology/cellphone-trac... критике с позиции неконтролируемого доступа правоохранительных органов к данным о местоположении мобильных устройств.
URL: https://krebsonsecurity.com/2018/05/tracking-firm-locationsm.../
Новость: https://www.opennet.me/opennews/art.shtml?num=48620