Dễ dàng tìm thấy lỗi trong bản demo miễn phí cho phép khách truy cập theo dõi điện thoại từ bốn nhà cung cấp hàng đầu của Hoa Kỳ.

Website tin tức an ninh KrebsOnSecurity cho biết một dịch vụ ít được biết đến đã làm rò rỉ các địa điểm thực của những người sử dụng điện thoại di động Mỹ cho bất cứ ai dành thời gian để khai thác một lỗi dễ bị phát hiện trong một tính năng dùng thử miễn phí, trang web tin tức an ninh.

LocationSmart rò rỉ vị trí điện thoại di động của người dùng
Một hình ảnh từ trang web LocationSmart

LocationSmart là một dịch vụ xác định vị trí của các điện thoại kết nối với AT & T, Sprint, T-Mobile hoặc Verizon với độ chính xác lên tới vài trăm thước. Trong khi công ty tuyên bố cung cấp dịch vụ tra cứu địa điểm với mục đích hợp pháp và được ủy quyền, phóng viên Krebs đã báo cáo rằng một công cụ demo trên trang web LocationSmart có thể được sử dụng bởi bất kỳ ai để lén lút theo dõi nơi ở thực của bất kỳ người sử dụng.

Công cụ được thiết kế với mục đích khách hàng có thể sử dụng để xem vị trí gần đúng thiết bị di động của họ. Dịch vụ này yêu cầu những người quan tâm phải nhập tên, địa chỉ email và số điện thoại của họ vào một biểu mẫu Web. LocationSmart sau đó sẽ nhắn tin cho số điện thoại và yêu cầu quyền truy vấn tháp mạng di động gần thiết bị nhất.

Nhưng theo Xiao, một ứng cử viên tiến sĩ tại Viện tương tác con người-máy tính của CMU, dịch vụ này đã không thực hiện các kiểm tra cơ bản để ngăn chặn các truy vấn ẩn danh và trái phép. Bất kỳ ai có kiến ​​thức về cách trang web hoạt động có thể lạm dụng trang web demo LocationSmart để tìm hiểu cách tiến hành tra cứu vị trí số di động theo ý muốn, tất cả không bao giờ phải cung cấp mật khẩu hoặc thông tin đăng nhập khác.

Xiao nói: “Tôi tình cờ gặp phải điều này gần như vô tình, và nó không quá khó để làm. Đây là thứ mà mọi người có thể khám phá với nỗ lực tối thiểu. Với chức năng của dịch vụ này tôi có thể theo dõi hầu hết điện thoại di động của mọi người mà không cần sự đồng ý của họ.”

Xiao đã xuất bản một mô tả chi tiết về lỗi. Bản mô tả cho thấy những thay đổi đơn giản đối với các yêu cầu Web của bản demo có thể vượt qua yêu cầu một vị trí được truy vấn chỉ sau khi người dùng điện thoại được chấp thuận.

Người sáng lập và CEO của LocationSmart, Mario Proietti, nói với Krebs rằng ông không bao giờ có ý định từ bỏ dịch vụ này. “Chúng tôi làm cho nó với mục đích hợp pháp và được ủy quyền. “Dịch vụ này dựa trên việc sử dụng dữ liệu vị trí hợp pháp và việc ủy quyền sử dụng dữ liệu vị trí chỉ diễn ra khi có sự đồng ý. Chúng tôi rất coi trọng quyền riêng tư và chúng tôi sẽ xem xét tất cả các sự cố.”

Lời rò rỉ xảy ra năm ngày sau khi một dịch vụ ít được biết đến gọi là Securus gây sự chú ý của mọi người sau khi tờ New York Times cho biết dịch vụ này cho phép các viên chức thực thi pháp luật xác định vị trí hầu hết các điện thoại di động của Mỹ chỉ trong vài giây. Theo ZDNet, Securus đã nhận được thông tin thông qua Carlsbad, California-dựa trên LocationSmart. Motherboard sau đó báo cáo rằng Securus đã trải qua sự vi phạm an ninh riêng của hãng và phơi bày tên người dùng và mật khẩu được bảo vệ yếu kém của hàng ngàn khách hàng của Securus.

Krebs đã liên lạc với tất cả bốn nhà cung cấp dịch vụ di động lớn của Hoa Kỳ và tất cả đều từ chối xác nhận hoặc từ chối mối quan hệ kinh doanh chính thức với LocationSmart. Một phát ngôn viên của T-Mobile cho biết công ty đã nhanh chóng đóng cửa bất kỳ giao dịch nào về dữ liệu vị trí của khách hàng đối với Securus sau khi các dịch vụ của nó gần đây đã gây nên tranh cãi. Ngoài ra, các công ty đã giới thiệu với Krebs về chính sách quyền riêng tư của họ, tất cả đều ngăn chặn việc chia sẻ thông tin vị trí mà không có sự đồng ý của khách hàng hoặc yêu cầu của cơ quan thực thi pháp luật.

Trước khi công ty đưa ra bản cập nhật và sửa lỗi cho sản phẩm của mình thì mọi người nên hạn chế sử dụng dịch vụ này.