标签: 运营商

起底 LocationSmart:不仅销售手机定位数据,还泄露用户数据

还有比大量出售手机实时位置数据更恶劣的公司吗?答案是肯定的,有些公司就没有采取任何安全预防措施,预防人们滥用这项服务。正如多个消息源本周所指出的那样,这两件事 LocationSmart都在做。 在 Securus 计算机系统遭到黑客攻击 后,LocationSmart 一些见不得光的行为也随之曝光。Securus 从事着一项利润丰厚的业务——追踪监狱犯人的通话记录;LocationSmart 是美国四大运营商的合作伙伴 ,得益于这种合作关系,前者可以向执法部门和其他机构实时提供移动设备定位数据。获取客户地理位置数据的方法和理由不胜枚举,但 LocationSmart 的理由却不充分。 警方和中央情报局等执法机构虽然可以直接向电信运营商索要此类信息,但相关手续非常繁杂。如果运营商允许 LocationSmart 这家独立的公司访问那类数据,而 LocationSmart 又将其卖给第三方(如 Securus),最后再由第三方转手卖给执法机构,整个过程就少了很多手续。这恰恰是 Securus 告诉参议员罗恩·韦登(Ron Wyden)他们正在做的事情:在 LocationSmart 的帮助下,充当政府与运营商之间的中间人。 通过手机最近连接到的信号发射塔,LocationSmart 的服务可以定位手机位置,并在几秒钟内将手机位置锁定在几百英尺以内。为了证明这项服务有效,该公司最近推出了服务免费试用活动:潜在客户可以输入电话号码,一旦该号码对其收到的信息回复“同意”,手机位置便会立即被返回。 这种服务表现非常好,但现在已经下线。据布赖恩·克雷布斯(rian Krebs)报道 ,由于对成功定位某部手机过于兴奋,LocationSmart 似乎忘了确保 API 的安全。 克雷布斯从 CMU 安全研究人员罗伯特·肖(Robert Xiao)那里了解到,他发现 LocationSmart“未能执行最基本的检查步骤以防止匿名和未经授权的查询”。 “我意外发现了这种情况,而且做起来并不难。这是任何人不费吹灰之力就可以发现的东西,”罗伯特·肖告诉克雷布斯。他在 一篇博文 中详细描述了技术细节。 他们通过与一些知名公司合作进行测试,验证了 API 的后门,当他们通知 LocationSmart 时,该公司首席执行官表示他们将进行调查。 这本身就足以带来问题。此外,它也引发了一个疑问,即运营商如何看待他们自己的位置共享政策。当克雷布斯就此与美国四大运营商联系时,他们都表示需要客户同意或执法部门的要求。 然而,使用 LocationSmart 的工具,手机可能会在没有征得所有四家运营商的用户同意情况下被定位。这两件事都不是真的。当然,其中一件事只是得到证实和记录,而另一件事则是来自一个隐私政策以欺骗著称的行业的保证。 依我看,LocationSmart 无非有三种选择: LocationSmart 可以通过信号发射塔找到手机位置,而且还不需要相关运营商的授权。出于技术和商业上的原因,这似乎不太可能;该公司还将运营商和其他公司作为合作伙伴列在网站首页,尽管这些公司的 Logo 已被删除。 对于运营商信息,LocationSmart 就好像有一把“万能钥匙”;他们的请求可能会被认为是合法的,因为他们的客户当中有执法机关或其他政府部门。从理论上讲,这种方案可能性更大一些,但也违反了运营商要求征得用户同意或提供某种执法理由的规定。 运营商确实不会逐一检查某项请求是否已获用户同意;他们可能会将这种责任强加于提出要求的人的身上,比如 LocationSmart(它在正式演示中的确要求获得用户同意)。但是,如果运营商不要求用户同意,第三方也不要求,并且还不让别人承担相应责任,那么要求征得用户同意的规定也就形同虚设。 这些选择都不是特别地令人振奋。但是,没人指望一个安全性较差的 API 能给我们带来什么好处——这个 API 让人可以请求获得任何人手机的大体位置。我已经给 LocationSmart 发去电子邮件,希望该公司对如何出现这个问题发表评论。 值得一提的是,LocationSmart 并不是唯一从事这种业务的企业,只是在今天这种安全环境下以及 Securus 的违规操作中被牵扯了进来。   稿源:TechCrunch,翻译:皓岳,封面源自网络;

FCC 拟禁美运营商用联邦资金买华为设备 华为回击

据 VentureBeat 报道,美国联邦通信委员会( FCC )不久前宣布了一项计划,阻止美国运营商使用联邦资金购买华为的产品或服务,理由是有可能危及国家安全。对此,华为发表声明反驳美方说法,并称这些声明“根本不是真的”,将损害美国的乡村移动用户。 此前几个月,美国相关部门指控华为的设备可能被用于间谍目的,危及消费者和即将到来的 5G 网络安全。华为自称是“ 100% 员工持股的公司”,“地任何国家都没有安全威胁”,而且“没有任何政府机构曾试图干预我们的业务或决策”。 华为还指出,该公司作为设备供应商已经有 30 年历史,现在“在超过 170 个国家和地区受到信任”。华为声称“没有一个运营商使用我们的设备时遇到安全问题”。 华为在声明中称“我们对 FCC 的提议感到失望”,并指出它希望帮助运营商将无线网络覆盖和扩展到农村以及服务不足的地区。声明中称:“如果华为受阻,美国乡村运营商的选择将会更少,消费者和企业也会如此。美国有关部门不应基于猜测和传言做出重大立法决定。” 今年1月份,华为对在美国扩张的兴趣受到了不同寻常的、政府的公开反对,因为立法者和相关机构以安全为由,积极游说美国运营商放弃华为和中兴的产品。美国官员认为,这些公司与中国政府关系密切。此外,他们声称,设备后门可以让中国政府监控通信,甚至可能控制未来的 5G 网络。 在美国情报机构负责人向外国政府表达了他们的担忧之后,华为利用移动世界大会的机会驳斥这一说法,称其“毫无根据”,但美国的运营商和零售商仍在继续放弃该公司的产品。最近,韩国运营商据说也在权衡美国的指控,以决定是否将华为设备从他们的 5G 网络中移除。 以下是华为的声明全文: 经过 30 年的持续投资,华为在许多技术领域都处于领先地位。这是我们的骄傲。我们与全球价值链中的合作伙伴紧密合作。我们致力于共同成长,致力于健康的竞争,为客户提供最好的产品和解决方案。这些努力应该得到承认,而不是毫无根据的怀疑。 美国相关机构针对华为的一系列指控根本不真实。我们没有对任何国家构成安全威胁。华为是一家百分之百由员工持股的公司,没有任何政府机构曾试图干预我们的行动或决定。美国当局不应基于猜测和谣言做出重大立法决定。我们的产品和解决方案得到 170 多个国家和地区的信赖。30 年来,我们的设备没有遇到过任何安全问题,包括美国运营商。 今天的 ICT 行业依赖于全球供应链。为了应对全球网络安全的真正挑战,我们需要整个生态系统合作。充满敌意和紧闭大门永远解决不了任何问题。自 2001 年进入美国市场以来,华为始终专注于为当地运营商提供创新产品和解决方案。我们帮助当地运营商扩大网络覆盖范围,包括那些服务不足的乡村地区,以弥合数字鸿沟。我们对 FCC 的提议感到失望。如果华为受阻,美国乡村运营商只会有更少的选择,而依赖于他们的消费者和企业将无法获得优质和便捷的电信服务。 稿源:cnBeta、网易科技,封面源自网络;

FCC 拟禁美运营商用联邦资金购买华为中兴通讯设备

国联邦通信委员会(FCC)主席阿基特·帕伊( Ajit Pai )宣布,该委员会将于 4 月 17 日就阻止美国手机运营商使用联邦资金购买华为或中兴通讯产品或服务的提案进行投票。这项提案是为了阻止这些运营商在即将到来的 5G 网络中使用便宜但可能存在安全隐患的网络设备。 根据该提案,所有美国运营商将被禁止使用联邦通信委员会 85 亿美元的通用服务基金(USF),用于购买任何对美国国家安全构成安全威胁的公司的设备或服务。USF 从个人电话客户那里收取费用,以改善低收入、农村、教育和高成本地区客户的电信服务。 尽管帕伊的声明只是间接地提到了华为和中兴,但 FCC 的高级官员已经证实,该提案中已经明确涉及这两家公司。在美国国会对这些公司的“秘密活动”进行了多年调查之后,美国情报机构和立法机构出于安全考虑,在今年年初开始大肆攻击华为和中兴的产品和服务。就在上周,美国运营商和零售商证实,他们正在从门店中撤下华为的硬件产品。两家中国公司都驳斥美国的说法毫无根据,并将注意力集中在其他国家。 稿源:cnBeta、网易科技,封面源自网络;

英国政府加强关键服务安全防护建设,违反 NIS 指令的运营商将面临高额罚款

外媒 2 月 4 日报道,为了应对某些邪恶地区和黑客组织的威胁,英国政府致力于加强关键部门服务的安全防护建设。2017 年 8 月,英国政府在与欧盟成员国合作的情况下,根据 “ 网络和信息系统安全指令”(称为 NIS 指令)发布了一项公共协商,以改善英国在电力、交通、水,能源、健康和数字基础设施方面的基本服务。该协商指出,若存在未实施适当防护措施的运营商,英国政府部门有权对其进行罚款。据悉,目前最高罚款金额可达到 1700 万欧元。 英国政府协商 NIS 指令讨论了以下六个主要议题:基础服务的识别、国家框架的管理与实施、对提供基础服务运营商的安全要求、对基础服务运营商事故报告的要求、对数字服务提供商的要求,并提出了相应的处罚制度。 什么是 NIS 指令? NIS 指令对所有提供基础服务和运营不同行业(包括能源,运输,银行,健康或数字服务)的关键基础设施的企业都有重大影响,是这些公司必须遵守的网络安全最低标准。 NIS 指令规定了对基本服务的经营者进行识别的范围、对国家安全、公共安全构成威胁以及重大社会或经济负面影响的可能因素。NIS 指令为国家框架奠定了基础,在这个框架中,政府能够确保主管当局拥有法律条款来履行其职责以及实现开展活动所需的资源。据悉,NIS 指令是以分层的方式建立的,每个原则(如 NIST 安全框架)中都要实现强制性安全结果,这一点在很大程度上确保了 NIS 指令可以贯穿各个不同行业。 NIS 指令由 14 个原则组成,可分为四个主要目标: 安全风险管理(治理,风险管理,资产管理,供应链)、保护网络攻击(服务保护政策和流程,身份和访问控制,数据安全,系统安全,弹性网络与系统,员工意识与培训)、网络安全事件(安全监控,异常检测)的检测以及网络安全事件(响应与恢复规划,改进)的影响的减少。 此外,该指令还涉及 GDPR 中不存在的网络安全问题。 目前 NCSC( GCHQ 的一部分)和主管当局(不同关键领域的监管机构)负责检查 NIS 指令的合规性。 目前只有当基本服务的运营者未能遵守第十四条 “ 安全要求和事件通知 ” 中列出的标准时,才会受到惩罚。罚款将根据未采取和未实施的适当措施进行判断和决定,最高罚款金额为 1700 万欧元。但如果必要的服务提供商能够在 2018 年 5 月之前完成 NIS 指令的实施要求,那么可能处罚措施会存在一些变动。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。