现实版天眼系统,一个漏洞让小白都能追踪上亿美国人实时定位

发表于:2018-05-19 08:59:10 来源:  FreeBuf.COM 阅读数(0人)

《速度与激情7》中,天眼系统能够利用各种高科技追踪任何人的位置,这是美国人对于未来隐私的担忧。一家收集北美多达2亿手机用户的实时定位数据的公司,网站上出现了一个漏洞,任何人都可以在未经同意的情况下查看一个人的定位,并且使用门槛极低,堪称简化版天眼系统。


这家卷入隐私纠纷的公司与美国所有主要的无线运营商都有“直接联系”,包括AT&T、Verizon、T-Mobile和Sprint以及加拿大的蜂窝网络。




本周早些时候,外媒就报道了关于美国四大手机运营商,正在向一家你以前从未听说过的公司出售用户实时位置数据。


该公司名为LocationSmart,专门提供定位数据服务,声称有“直接联系”从附近的蜂窝塔中获取位置。该网站提供“先试再买”的服务,让用户可以测试其数据的准确性。外媒ZDnet测试之后发现,结果非常精准,能够直接定位一名同事所在的街区。


而这家公司客户要做的就是确保得到了手机号码主人的同意,LocationSmart表示也会主动发短信或者打电话告知对方。


对于LocationSmart如何获得数百万美国人的实时定位数据,如何获得手机用户所有者的同意,以及还有谁能够访问这些数据,人们却知之甚少。但该网站有一个漏洞,任何人都可以在未经他人允许的情况下悄悄跟踪某人的位置。


卡内基梅隆大学(Carnegie Mellon University)人机交互研究所(Human-Computer Interaction Institute)的博士Robert Xiao表示,该网站存在一个漏洞,用户可以直接跳过征求同意的部分直接查询特定号码的位置,这意味着LocationSmart从一开始可能就不需要征得同意,这里并没有安全监管。


由于先试再买的服务存在,LocationSmart相当于给任何人提供了免费服务,能够查询其他人的实时位置。而这个漏洞,很可能已经暴露了几乎所有美国和加拿大的手机用户,大约2亿人。




研究人员Xiao 在发现这个问题之后,跟几个朋友一起来测试这个漏洞以及定位数据精准度。一个朋友开车环游夏威夷途中,在经过其同意之后,利用LocationSmart网站获取其定位信息,能够清晰地看到其位置路标在岛上移动。同时,在整个过程中没有任何人收到过短信或者电话被告知位置信息被获取。


看到这样的结果,的确让人不寒而栗,因为谁也不清楚此时此刻是否也有某个人或者某个组织在监控着你的实时定位。研究人员通过公共漏洞数据库向该公司透露这个BUG的细节之后,该网站的试用服务已经暂时被关闭。


而在美国,不仅仅是LocationSmart公司提供这样的服务。就在几天前,另一家电话追踪公司Securus遭黑客攻击,黑客至少拿到了包含有2800个登录名和加密密码的电子表格,而这家公司专门为警方提供实时电话追踪服务。




纽约时报不久前报道出这家公司,美国成千上万的监狱都在使用这家公司的服务,用来监控囚犯。密苏里州密西西比县前治安官在没有法院命令的情况下,利用Securus公司的服务追踪人们的手机,包括其他官员。面对非法监控的控诉,该治安官拒绝认罪。


在这些事件被媒体曝光之后,LocationSmart公司以及AT&T、Verizon、T-Mobile和Sprint等手机运营商均为对事件所设计的用户隐私问题做出正面回应。


美国参议员罗恩·怀登(RonWyden)发表了一份声明,呼吁运营商停止与第三方共享数据。他表示,这不仅对隐私,而且对每个美国家庭的经济和个人安全都是一种明显和现实的危险。因为他们把利润看得高于隐私和安全,运营商和LocationSmart 几乎让任何能够上网的人都能够像黑客通过手机追踪任何美国人的位置。


相关新闻

大家都在学

课程详情

常见Web漏洞解析

课程详情

小白入门之旅

课程详情

信息安全基础