手机追踪公司暴露了数百万美国人的实时位置

本周早些时候，ZDNet向一家名为LocationSmart的公司介绍了一些情况，该公司正在从美国最大的四家运营商那里购买您的实时位置数据。据“纽约时报”报道，由于一位前警察警长在没有逮捕令的情况下窃取了嫌疑人的电话位置数据，最终引爆了事件。ZDNet现在报告说，该公司“ 在其网站上出现了一个允许任何人没有得到他们的同意情况下看到另一个人的位置的代码错误。”

一位匿名读者分享了一段摘录：“由于网站上有一个非常基本的错误，你可以跳过这个同意部分，直接到达这个位置，”博士罗伯特肖说。卡内基梅隆大学人机交互学院的学生打来电话。“这意味着LocationSmart从不首先要求同意，”他说。“这里似乎没有安全监督。” 在CERT的帮助下，Xiao在Carnegie Mellon的一个公共漏洞数据库的帮助下私下向该公司披露了该漏洞后，“try”网站被拉下线。肖说，这个bug可能已经暴露了美国和加拿大几乎所有的手机用户的位置信息，大约涉及2亿用户。 研究人员说，他在看到ZDNet的报告后开始关注LocationSmart的网站本周接下来是纽约时报的一则报道，报道揭示了一名前警察警长如何在没有逮捕令的情况下窃听电话位置数据。警长对非法监视指控不服罪。他说，在“尝试”页面中使用的允许用户尝试位置功能的API之一未正确验证同意响应。肖说，跳过API向用户发送文本消息以获得他们的同意的部分“非常容易”。“这是一个非常简单的错误，”他说。