信息安全漏洞:全美手机用户位置遭泄漏
LocationSmart漏洞导致允许任何人均可定位AT&T、Verizon、
Sprint或T-Mobile美国手机用户的实时位置信息。
本月15号我们刚刚发过一篇文章:《美国警察可以无授权实时定位任何人手机?》,讲述美国一家主要处理监狱电话系统的公司利用通信运营商提供的数据共享服务,允许警察在无授权下追踪任何公民的手机位置。
仅过2天后,这件事情就又有了新的进展 ——不只是警察,几乎任何人都可以利用这个漏洞得到任意美国手机用户的实时位置:
5月17日,一位独立调查记者(白帽子)在网络上发布了LocationSmart系统的漏洞(详见下文截图)。表示该漏洞导致允许任何人均可定位AT&T、Verizon、
目前FBI目前已经介入事件的调查,漏洞也已经修复。
5月16日,我发现LocationSmart网站存在一个漏洞,无需事先进行身份验证或同意,任何人都可以获得美国任何手机的实时位置且误差只几百英尺之内。 我立即转而联系美国CERT协调披露信息,并在今天上午(5月17日)修复漏洞后与Brian Krebs合作发布了该故事 。
现在我已经确认漏洞已修复,我将发布有关该漏洞和漏洞的相关技术细节。
介绍
LocationSmart是一家手机定位追踪服务商,最近在新闻中向第三方Securus销售位置数据,后者然后不正当地向前执法官员披露。 与其他合作伙伴Verizon ,AT&T,T-Mobile,Sprint和加拿大贝尔公司Bell合作,通过基站蜂窝三角测量法(与E911本地化方法相同)获取移动客户的实时位置。 然后,LocationSmart将位置数据出售给其他公司,其目的包括地理定位协助和营销。 请注意,因为这种基于运营商的,它和电话操作系统或设备本身的隐私设置无关,都可以工作。 没有选择退出的能力。
另外,白帽子也已经将漏洞利用详情进行了披露:
有兴趣了解的朋友,可以点击页面尾部的蓝色“阅读原文”链接了解更多。
小编目前所掌握的资料显示,国内目前至少也存在类似的一个漏洞,理论上也能对任意在网的手机进行无感知的定位,同样是来自运营商授权给某第三方SP服务商存在可利用的漏洞。也同样由于是通过基站定位,所以无论是何种操作系统,智能手机或老人机,用户都没有选择退出的能力。
让人不安的是,任何有一定开发能力的人都可以对漏洞加以利用,开发出一套工具,同样导致任何人都有权限查看任何手机的实时位置。
相关阅读: