Уязвимость в LocationSmart раскрывала местоположение клиентов большинства мобильных сетей США

В Web API, предоставляемом сервисом LocationSmart, выявлена уязвимость, которая позволяла любому постороннему отслеживать местоположение смартфонов, подключенных к большинству крупных мобильных сетей США, включая таких операторов как ATT, Sprint, T-Mobile и Verizon, а также канадских операторов Bell, Rogers и Telus.

Данные о местоположении раскрывались с точностью определения базовой станции (от сотен метров до нескольких километров). Через периодическое обращение к API имелась возможность отслеживать перемещение смартфонов в режиме реального времени. Данные о местоположении поступали в сервис LocationSmart в рамках предполагаемых партнёрских контрактов с мобильными операторами (ни один оператор не опроверг и не подтвердил наличие контракта с LocationSmart). По приблизительно оценке проблема могла затронуть около 200 млн абонентов различных операторов связи.

Уязвимость всплыла после анализа демонстрационного сайта LocationSmart, через который пользователь мог бесплатно протестировать работу сервиса и определить местоположение своего устройства. Для доступа к сервису пользователю требовалось зарегистрироваться на сайте, введя своё имя, email и номер телефона, а затем подтвердить запрос через SMS или обратный звонок. Как оказалось, данная проверка является лишь формальностью и не охватывает доступ к Web API.

Любой желающий мог отправить запрос к Web API, указав произвольный номер телефона, и получить сведения о местоположении базовой станции, которая ближе всего находится к заданному устройству. При этом запросы могли отправляться анонимно и без указания параметров аутентификации. Используя выдаваемые координаты, исследователи смогли организовать отслеживания перемещения интересующих их телефонов и наглядно оценить перемещение абонента при помощи Google Maps. Точность определения координат телефона при тестировании абонентов различных операторов составила от 90 метров до 2.5 км.

В настоящее время демонстрационный сайт LocationSmart отключен, а большинство операторов отклонились от комментариев сотрудничества с сервисом. По словам директора LocationSmart компания серьёзно относится к конфиденциальности и сервис создавался исключительно для законных и разрешённых целей, а все факторы, способствовавшие возникновению инцидента будут подробно изучены.

Тем временем, LocationSmart всего неделю назад
фигурировал в скандале с компанией Securus, связанном с предоставлением правоохранительным органам неконтролируемого доступа к данным о местоположении мобильных устройств (для определения местоположения использовался LocationSmart). Деятельность Securus связана с обходом принятого в США закона «Electronic Communications Privacy Act«, который запрещает операторам связи разглашения данных государственным структурам, но не регламентирует передачу данных другим компаниям, которые затем могут передавать те же самые данные госслужбам.

Кроме того, на днях был зафиксирован взлом компании Securus, которая занимается организацией связи в тюрьмах и предоставлением полиции инструментов для поиска украденных мобильных устройств. В качестве подтверждения взлома были опубликованы учётные данные 2800 пользователей системы, включающие email, адреса, номера телефонов и MD5-хэши паролей. Это не первый взлом Securus, в 2015 году злоумышленники
смогли получить доступ к архиву из 70 млн записанных звонков осужденных, в том числе их переговоров с адвокатами.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.