现实版天眼系统,一个漏洞让小白都能追踪上亿美国人实时定位

《速度与激情7》中,天眼系统能够利用各种高科技追踪任何人的位置,这是美国人对于未来隐私的担忧。一家收集北美多达2亿手机用户的实时定位数据的公司,网站上出现了一个漏洞,任何人都可以在未经同意的情况下查看一个人的定位,并且使用门槛极低,堪称简化版天眼系统。

这家卷入隐私纠纷的公司与美国所有主要的无线运营商都有“直接联系”,包括AT&T、Verizon、T-Mobile和Sprint以及加拿大的蜂窝网络。

本周早些时候,外媒就报道了关于美国四大手机运营商,正在向一家你以前从未听说过的公司出售用户实时位置数据。

该公司名为LocationSmart,专门提供定位数据服务,声称有“直接联系”从附近的蜂窝塔中获取位置。该网站提供“先试再买”的服务,让用户可以测试其数据的准确性。外媒ZDnet测试之后发现,结果非常精准,能够直接定位一名同事所在的街区。

而这家公司客户要做的就是确保得到了手机号码主人的同意,LocationSmart表示也会主动发短信或者打电话告知对方。

对于LocationSmart如何获得数百万美国人的实时定位数据,如何获得手机用户所有者的同意,以及还有谁能够访问这些数据,人们却知之甚少。但该网站有一个漏洞,任何人都可以在未经他人允许的情况下悄悄跟踪某人的位置。

卡内基梅隆大学(Carnegie Mellon University)人机交互研究所(Human-Computer Interaction Institute)的博士Robert Xiao表示,该网站存在一个漏洞,用户可以直接跳过征求同意的部分直接查询特定号码的位置,这意味着LocationSmart从一开始可能就不需要征得同意,这里并没有安全监管。

由于先试再买的服务存在,LocationSmart相当于给任何人提供了免费服务,能够查询其他人的实时位置。而这个漏洞,很可能已经暴露了几乎所有美国和加拿大的手机用户,大约2亿人。

点击阅读原文查看高清原图

研究人员Xiao 在发现这个问题之后,跟几个朋友一起来测试这个漏洞以及定位数据精准度。一个朋友开车环游夏威夷途中,在经过其同意之后,利用LocationSmart网站获取其定位信息,能够清晰地看到其位置路标在岛上移动。同时,在整个过程中没有任何人收到过短信或者电话被告知位置信息被获取。

看到这样的结果,的确让人不寒而栗,因为谁也不清楚此时此刻是否也有某个人或者某个组织在监控着你的实时定位。研究人员通过公共漏洞数据库向该公司透露这个BUG的细节之后,该网站的试用服务已经暂时被关闭。

而在美国,不仅仅是LocationSmart公司提供这样的服务。就在几天前,另一家电话追踪公司Securus遭黑客攻击,黑客至少拿到了包含有2800个登录名和加密密码的电子表格,而这家公司专门为警方提供实时电话追踪服务。

纽约时报不久前报道出这家公司,美国成千上万的监狱都在使用这家公司的服务,用来监控囚犯。密苏里州密西西比县前治安官在没有法院命令的情况下,利用Securus公司的服务追踪人们的手机,包括其他官员。面对非法监控的控诉,该治安官拒绝认罪。

在这些事件被媒体曝光之后,LocationSmart公司以及AT&T、Verizon、T-Mobile和Sprint等手机运营商均未对事件所涉及的用户隐私问题做出正面回应。

美国参议员罗恩·怀登(RonWyden)发表了一份声明,呼吁运营商停止与第三方共享数据。他表示,这不仅对隐私,而且对每个美国家庭的经济和个人安全都是一种明显和现实的危险。因为他们把利润看得高于隐私和安全,运营商和LocationSmart 几乎让任何能够上网的人都能够像黑客通过手机追踪任何美国人的位置。

*参考来源:ZDnet,由Andy编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-05-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

公地悲剧:为什么物联网管制可能是无可避免之灾祸

羊可以教我们关于保护物联网的什么?为理解拥有安全设备需求所代表的困境,请考虑集体所有权问题,比如在共同拥有的牧场放牧绵羊。

2985
来自专栏FreeBuf

黑客事件中如何实现利益最大化?

Everything is changing,技术也不例外。在合法企业技术快速发展的同时,网络犯罪技术也不敢落后,同样发展迅速。 黑市上可轻而易举的买到一些高级...

2199
来自专栏AI研习社

收集数据太困难?这里为你准备了 71 个免费数据集

日前,KDnuggets 上的一篇文章总结了七十多个免费的数据集,内容涉及到政府、金融、卫生、新闻传媒等各个方面,除了这些数据,文中还提供数据提取地址。 AI ...

5665
来自专栏阮一峰的网络日志

每周分享第 14 期

上周,特斯拉汽车的老板马斯克(Elon Musk)来中国,7月11日在上海建立全球第二家工厂,7月12日在北京建立研发中心,当天下午就回美国。他日程太赶没时间吃...

1788
来自专栏DT数据侠

GitHub刚被微软收购,7年1500万账户数据就“被爆”了

作为开源代码库以及版本控制系统,Github拥有超过900万开发者用户。数据侠Ben Frederickson突发奇想,想统计一下全球的程序猿都住在哪里,于是他...

650
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(79)-SOP-车间生产计划

车间生产计划 车间生产计划是工厂生产计划的具体执行计划,是把工厂全年的生产任务具体地分配到各个车间、工段、班组以至每个操作人员,规定各相关人员在月、旬、周、日以...

3016
来自专栏企鹅号快讯

如何成为一个渗透测试员

短版本: 一个渗透测试人员探测?基于web的应用、网络、系统的安全漏洞。 用另一种话说,就是你被付薪水来做合法hack。在这个很酷的工作,你将会使用一系列的渗透...

2618
来自专栏灯塔大数据

报告发布|新连接经济:为我国经济结构性改革注入新动力

近年来,随着国家不断加强和普及连接基础设施建设,百度、腾讯、华为和中国移动等龙头企业纷纷提出连接战略,以及亿万消费者把衣食住行都建立在新连接之上,连接终于从不可...

2866
来自专栏安恒信息

腾讯TSRC月度奖励发布 安恒漏洞之王再续榜首

2016年11月,共66位安全专家通过安全问题反馈平台向腾讯报告安全问题,腾讯对这些安全专家表示感谢。根据漏洞奖励计划、积分兑换流程和报告者自行的兑换,腾讯安全...

37311
来自专栏FreeBuf

BEC诈骗横行,企业员工如何防钓鱼?

目前而言,勒索软件攻击可能是企业和机构面临的最新威胁,但其实它只能算企业和机构必须警惕的威胁之一,另一个更为突出的应该就非商业电邮诈骗(BEC)莫属了。 BEC...

2629

扫码关注云+社区

领取腾讯云代金券