phone

起底 LocationSmart:不仅销售手机定位数据,还泄露用户数据

  • 浏览次数 14656
  • 喜欢 0
  • 评分 12345

还有比大量出售手机实时位置数据更恶劣的公司吗?答案是肯定的,有些公司就没有采取任何安全预防措施,预防人们滥用这项服务。正如多个消息源本周所指出的那样,这两件事 LocationSmart都在做。

在 Securus 计算机系统遭到黑客攻击 后,LocationSmart 一些见不得光的行为也随之曝光。Securus 从事着一项利润丰厚的业务——追踪监狱犯人的通话记录;LocationSmart 是美国四大运营商的合作伙伴 ,得益于这种合作关系,前者可以向执法部门和其他机构实时提供移动设备定位数据。获取客户地理位置数据的方法和理由不胜枚举,但 LocationSmart 的理由却不充分。

警方和中央情报局等执法机构虽然可以直接向电信运营商索要此类信息,但相关手续非常繁杂。如果运营商允许 LocationSmart 这家独立的公司访问那类数据,而 LocationSmart 又将其卖给第三方(如 Securus),最后再由第三方转手卖给执法机构,整个过程就少了很多手续。这恰恰是 Securus 告诉参议员罗恩·韦登(Ron Wyden)他们正在做的事情:在 LocationSmart 的帮助下,充当政府与运营商之间的中间人。

通过手机最近连接到的信号发射塔,LocationSmart 的服务可以定位手机位置,并在几秒钟内将手机位置锁定在几百英尺以内。为了证明这项服务有效,该公司最近推出了服务免费试用活动:潜在客户可以输入电话号码,一旦该号码对其收到的信息回复“同意”,手机位置便会立即被返回。

locationsmart

这种服务表现非常好,但现在已经下线。据布赖恩·克雷布斯(rian Krebs)报道 ,由于对成功定位某部手机过于兴奋,LocationSmart 似乎忘了确保 API 的安全。

克雷布斯从 CMU 安全研究人员罗伯特·肖(Robert Xiao)那里了解到,他发现 LocationSmart“未能执行最基本的检查步骤以防止匿名和未经授权的查询”。

“我意外发现了这种情况,而且做起来并不难。这是任何人不费吹灰之力就可以发现的东西,”罗伯特·肖告诉克雷布斯。他在 一篇博文 中详细描述了技术细节。

他们通过与一些知名公司合作进行测试,验证了 API 的后门,当他们通知 LocationSmart 时,该公司首席执行官表示他们将进行调查。

这本身就足以带来问题。此外,它也引发了一个疑问,即运营商如何看待他们自己的位置共享政策。当克雷布斯就此与美国四大运营商联系时,他们都表示需要客户同意或执法部门的要求。

然而,使用 LocationSmart 的工具,手机可能会在没有征得所有四家运营商的用户同意情况下被定位。这两件事都不是真的。当然,其中一件事只是得到证实和记录,而另一件事则是来自一个隐私政策以欺骗著称的行业的保证。

依我看,LocationSmart 无非有三种选择:

  1. LocationSmart 可以通过信号发射塔找到手机位置,而且还不需要相关运营商的授权。出于技术和商业上的原因,这似乎不太可能;该公司还将运营商和其他公司作为合作伙伴列在网站首页,尽管这些公司的 Logo 已被删除。
  2. 对于运营商信息,LocationSmart 就好像有一把“万能钥匙”;他们的请求可能会被认为是合法的,因为他们的客户当中有执法机关或其他政府部门。从理论上讲,这种方案可能性更大一些,但也违反了运营商要求征得用户同意或提供某种执法理由的规定。
  3. 运营商确实不会逐一检查某项请求是否已获用户同意;他们可能会将这种责任强加于提出要求的人的身上,比如 LocationSmart(它在正式演示中的确要求获得用户同意)。但是,如果运营商不要求用户同意,第三方也不要求,并且还不让别人承担相应责任,那么要求征得用户同意的规定也就形同虚设。

这些选择都不是特别地令人振奋。但是,没人指望一个安全性较差的 API 能给我们带来什么好处——这个 API 让人可以请求获得任何人手机的大体位置。我已经给 LocationSmart 发去电子邮件,希望该公司对如何出现这个问题发表评论。

值得一提的是,LocationSmart 并不是唯一从事这种业务的企业,只是在今天这种安全环境下以及 Securus 的违规操作中被牵扯了进来。

 

稿源:TechCrunch,翻译:皓岳,封面源自网络;

封面