起底 LocationSmart:不仅销售手机定位数据,还泄露用户数据

还有比大量出售手机实时位置数据更恶劣的公司吗?答案是肯定的,有些公司就没有采取任何安全预防措施,预防人们滥用这项服务。正如多个消息源本周所指出的那样,这两件事 LocationSmart都在做。

在 Securus 计算机系统遭到黑客攻击 后,LocationSmart 一些见不得光的行为也随之曝光。Securus 从事着一项利润丰厚的业务——追踪监狱犯人的通话记录;LocationSmart 是美国四大运营商的合作伙伴 ,得益于这种合作关系,前者可以向执法部门和其他机构实时提供移动设备定位数据。获取客户地理位置数据的方法和理由不胜枚举,但 LocationSmart 的理由却不充分。

警方和中央情报局等执法机构虽然可以直接向电信运营商索要此类信息,但相关手续非常繁杂。如果运营商允许 LocationSmart 这家独立的公司访问那类数据,而 LocationSmart 又将其卖给第三方(如 Securus),最后再由第三方转手卖给执法机构,整个过程就少了很多手续。这恰恰是 Securus 告诉参议员罗恩·韦登(Ron Wyden)他们正在做的事情:在 LocationSmart 的帮助下,充当政府与运营商之间的中间人。

通过手机最近连接到的信号发射塔,LocationSmart 的服务可以定位手机位置,并在几秒钟内将手机位置锁定在几百英尺以内。为了证明这项服务有效,该公司最近推出了服务免费试用活动:潜在客户可以输入电话号码,一旦该号码对其收到的信息回复“同意”,手机位置便会立即被返回。

这种服务表现非常好,但现在已经下线。据布赖恩·克雷布斯(rian Krebs)报道 ,由于对成功定位某部手机过于兴奋,LocationSmart 似乎忘了确保 API 的安全。

克雷布斯从 CMU 安全研究人员罗伯特·肖(Robert Xiao)那里了解到,他发现 LocationSmart“未能执行最基本的检查步骤以防止匿名和未经授权的查询”。

“我意外发现了这种情况,而且做起来并不难。这是任何人不费吹灰之力就可以发现的东西,”罗伯特·肖告诉克雷布斯。他在 一篇博文 中详细描述了技术细节。

他们通过与一些知名公司合作进行测试,验证了 API 的后门,当他们通知 LocationSmart 时,该公司首席执行官表示他们将进行调查。

这本身就足以带来问题。此外,它也引发了一个疑问,即运营商如何看待他们自己的位置共享政策。当克雷布斯就此与美国四大运营商联系时,他们都表示需要客户同意或执法部门的要求。

然而,使用 LocationSmart 的工具,手机可能会在没有征得所有四家运营商的用户同意情况下被定位。这两件事都不是真的。当然,其中一件事只是得到证实和记录,而另一件事则是来自一个隐私政策以欺骗著称的行业的保证。

依我看,LocationSmart 无非有三种选择:

  1. LocationSmart 可以通过信号发射塔找到手机位置,而且还不需要相关运营商的授权。出于技术和商业上的原因,这似乎不太可能;该公司还将运营商和其他公司作为合作伙伴列在网站首页,尽管这些公司的 Logo 已被删除。
  2. 对于运营商信息,LocationSmart 就好像有一把“万能钥匙”;他们的请求可能会被认为是合法的,因为他们的客户当中有执法机关或其他政府部门。从理论上讲,这种方案可能性更大一些,但也违反了运营商要求征得用户同意或提供某种执法理由的规定。
  3. 运营商确实不会逐一检查某项请求是否已获用户同意;他们可能会将这种责任强加于提出要求的人的身上,比如 LocationSmart(它在正式演示中的确要求获得用户同意)。但是,如果运营商不要求用户同意,第三方也不要求,并且还不让别人承担相应责任,那么要求征得用户同意的规定也就形同虚设。

这些选择都不是特别地令人振奋。但是,没人指望一个安全性较差的 API 能给我们带来什么好处——这个 API 让人可以请求获得任何人手机的大体位置。我已经给 LocationSmart 发去电子邮件,希望该公司对如何出现这个问题发表评论。

值得一提的是,LocationSmart 并不是唯一从事这种业务的企业,只是在今天这种安全环境下以及 Securus 的违规操作中被牵扯了进来。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏数据猿

【案例】东北证券——智能报表系统建设

数据猿导读 证券行业是中国计算机应用高度密集的行业之一,如何利用好各项数据是券商摆脱低层次的同质化竞争,走向差异化服务优势的重要途径。那么以数据为基础,通过数据...

4127
来自专栏BestSDK

微软推出64位 ARM应用 SDK,一次开发兼容所有平台!

借助新的SDK,开发人员可以在本地重新编译他们的应用程序,以便在基于ARM的PC上运行64位,比如华硕NovaGo。

1275
来自专栏吉浦迅科技

加拿大超算中心利用Allinea工具弥合创新缺口

SciNet运用Allinea的调试工具加速了加拿大领先高性能计算(HPC)系统在软件方面的发展 “如果有人告诉你他的代码是百分百正确的,那他就太夸张了...

3168
来自专栏逸鹏说道

VMware描绘移动商务未来发展蓝图

全球云基础架构和移动商务领导厂商VMware公司(NYSE:VMW)今日公布了对移动商务未来前景的展望,公司将通过全新解决方案、服务和合作伙伴关系帮助企业实现商...

3039
来自专栏云计算D1net

在云中进行数据保护和恢复的最佳实践

近年来,围绕着数据管理的诸多讨论已经转向云服务作为一种低费用和高度可扩展的解决方案,可以通过任何互联网的连接访问方面了。然而,当涉及到在云中实施数据保护时,也有...

2707
来自专栏程序员宝库

猝不及防!这次,Google真的“造人”了!5月编程语言指数榜:Python首次夺冠;Riot.js 3.10.0发布

2265
来自专栏编程坑太多

程序员年龄增大后的职业出路是什么?

PS:当你躺在病床上,你向往的可不是什么程序员,什么总监,一个月多少万,你只要觉得自己能够活蹦乱跳的走在大街上晒晒太阳就心满意足了。

1587
来自专栏VRPinea

小派推出新款Knuckles式控制器,五指追踪,支持SteamVR 2.0

2774
来自专栏移动互联网时代

网站建设的服务器选择标准有哪些?

现在我们都处在网络时代,公司都建立了自己的网站来推广品牌产品。那么,对于网站服务器,你知道多少呢?对于企业网站来说,网站并不代表企业的后期规模,但网站的发展速度...

2542
来自专栏机器人网

这是一个能自动找手机充电的机器人

手机目前成为人们不可缺少的电子设备之一,在生活中给大家提供便利的同时,也会带来一点小麻烦,比如说充电问题。如果在出门后发现手机忘记充电了,要不得带上一块半斤重的...

3015

扫码关注云+社区

领取腾讯云代金券