The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в LocationSmart раскрывала местоположение клиенто..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от opennews (??) on 18-Май-18, 11:37 
В Web API, предоставляемом сервисом LocationSmart, выявлена (https://www.robertxiao.ca/hacking/locationsmart/) уязвимость, которая позволяла любому постороннему отслеживать местоположение смартфонов, подключенных к большинству крупных мобильных сетей США, включая таких операторов как AT&T, Sprint, T-Mobile и Verizon, а также канадских операторов Bell, Rogers и Telus.


Данные о местоположении раскрывались с точностью определения базовой станции (от сотен метров до нескольких километров). Через периодическое обращение к API имелась возможность отслеживать перемещение смартфонов в режиме реального времени. Данные о местоположении поступали в сервис LocationSmart  в рамках партнёрских контрактов с мобильными операторами. По приблизительно оценке проблема могла затронуть около 200 млн абонентов различных операторов связи.


Проблема всплыла после анализа демонстрационного сайта, через который пользователь мог бесплатно протестировать работу сервиса и определить местоположение своего устройства. Для доступа к сервису пользователю требовалось зарегистрироваться на сайте, введя своё имя, email и номер телефона, а затем подтвердить запрос через SMS или обратный звонок. Как оказалось, данная проверка является лишь формальностью и не охватывает доступ к Web API.


Любой желающий мог отправить запрос к Web API, указав произвольный номер телефона на любой на своё усмотрение, и получить сведения о местоположении базовой станции, которая ближе всего находится к заданному устройству. При этом запросы могли отправляться анонимно и без указания параметров аутентификации. Используя выдаваемые координаты, исследователи смогли организовать отслеживания перемещения интересующих их телефонов и наглядно оценить перемещение абонента при помощи Google Maps. Точность определения координат телефона при тестировании абонентов различных операторов составила от 90 метров до 2.5 км.


В настоящее время демонстрационный сайт LocationSmart отключен. По словам директора LocationSmart (https://en.wikipedia.org/wiki/LocationSmart) компания серьёзно относится к конфиденциальности и сервис создавался исключительно для законных и разрешённых целей, а все факторы, способствовавшие возникновению инцидента будут подробно изучены.

При этом всего несколько дней назад был зафиксирован (https://arstechnica.com/information-technology/2018/05/compa.../) взлом мобильного оператора Securus, который использовался для предоставления  связи в тюрьмах и предоставлял полиции инструменты для поиска украденных мобильных устройств.  В качестве подтверждения взлома были опубликованы учётные данные 2800 пользователей системы, включающие email, адреса, номера телефонов и MD5-хэши паролей. Это не первый взлом Securus, в 2015 году злоумышленники
смогли (https://theintercept.com/2015/11/11/securus-hack-prison-phon.../) получить доступа к архиву из 70 млн записанных звонков осужденных, в том числе их переговоров с адвокатами. Ранее Securus также подвергался (https://www.nytimes.com/2018/05/10/technology/cellphone-trac...) критике с позиции неконтролируемого доступа правоохранительных органов к данным о местоположении мобильных устройств.


URL: https://krebsonsecurity.com/2018/05/tracking-firm-locationsm.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48620

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  –9 +/
Сообщение от Аноним (??) on 18-Май-18, 11:37 
Там что все сервисы сша имеют бакдоры?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  –2 +/
Сообщение от Аноним (??) on 18-Май-18, 11:41 
США это и есть один большой бэкдор.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +23 +/
Сообщение от iv on 18-Май-18, 11:42 
Это не бекдор, это стены забыли построить...
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

28. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +1 +/
Сообщение от Аноним (??) on 18-Май-18, 15:15 
Забыли построить стену от АНБ?
Нам бы тоже от наших ведомвст не мешало как и многим другим государствам.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  –3 +/
Сообщение от Fyjybv755 on 18-Май-18, 11:44 
Там, где русские запрещают, американцы ставят зонд.
Так что - да, практически все.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

18. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от Аноним (??) on 18-Май-18, 13:37 
основной зонд - подписанный материал, живой или неживой, нетривиальные аналитические модели сдюжат. а квирки в информационном поле были, есть и будут, запрещай, не запрещай.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

3. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  –7 +/
Сообщение от Диносуслик on 18-Май-18, 11:42 
Какой кошмар! Да всем плевать. Люди сами давно о себе все фейсбуку и гуглу с инстаграмом слили.

Где отдыхают, чем владеют (или кем)., где живут, работают, учатся. Расслабьтесь

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  –1 +/
Сообщение от Fyjybv755 on 18-Май-18, 11:46 
По-моему, тема про Securus недостаточно раскрыта. Насколько я понял из других источников, эти ребята получают данные о звонках и местоположении абонентов у мобильных операторов, и передают их полиции и ФБР.
Что интересно, американские законы запрещают мобильным операторам передавать эти инфу органам напрямую. А вот через посредника - легко.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +1 +/
Сообщение от A on 18-Май-18, 14:13 
Перекладывание ответственности самый популярный международный спорт.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

36. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от Аноним (??) on 18-Май-18, 16:32 
Ага, как успех - были причастны все, как неувязки - никого не найдешь, т.к. не их зона ответственности.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

7. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +5 +/
Сообщение от macfaq on 18-Май-18, 11:59 
> По словам директора LocationSmart компания серьёзно относится к конфиденциальности и сервис создавался исключительно для законных и разрешённых целей, а все факторы, способствовавшие возникновению инцидента будут подробно изучены.

Простите, а хоть один PR-отдел когда-то говорил, что им поxep на конфиденциальность, сделали они всё за деньги спецуры и расследовать ничего не будут?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от Аноним (??) on 18-Май-18, 12:56 
но, ведь, мобилки можно и без этого отслеживать, при наличии симки внутри. О чем новость?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +6 +/
Сообщение от ПупкинВасуасилий on 18-Май-18, 12:59 
О том, что это делать могли не только лишь все.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +3 +/
Сообщение от Реалистпрагматик on 18-Май-18, 14:07 
ВНЕЗАПНО оказалось, что следить за стадом можем не только мы!

Большая дыра в безопасности должна быть заделана, а виновные наказаны!

Только МЫ можем следить, а вам - не дозволено!
И да, Планета в наших руках!
Смиритесь!

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

32. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от Аноним (??) on 18-Май-18, 16:16 
Вы тоже из клуба Массонов?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

37. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +1 +/
Сообщение от Аноним (??) on 18-Май-18, 17:07 
Нет, просто рептилоид разоткровенничелся.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

39. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от Аноним (??) on 18-Май-18, 17:08 
Массовая месса масонов...
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

40. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  –2 +/
Сообщение от Аноним (??) on 18-Май-18, 17:25 
Можно отслеживать и без симки внутри. Телефон коннектится к сети чтобы звонить на 911 без симки.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

42. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от Аноним (??) on 18-Май-18, 17:57 
> Можно отслеживать и без симки внутри. Телефон коннектится к сети чтобы звонить
> на 911 без симки.

У меня говорит нет симки - иди на 3 буквы.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

44. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от Alex (??) on 18-Май-18, 18:17 
Коннектится он в момент вызова. Без симки он только слушает сеть и выбирает куда будет коннектится если ты нажмешь 112
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

45. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от Аноним (??) on 18-Май-18, 18:54 
Зависит от телефона. Да и откуда ты знаешь что он не коннектися без звонка?
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

46. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от Аноним84701 (ok) on 18-Май-18, 19:30 
> Зависит от телефона.

Вообще-то, зависит от законодательства страны.
Лет десять назад кое-где в Европе  например запретили звонки на 112 БЕЗ действующей симки (другое дело, что операторы обязаны пробрасывать все подобные звонки – и от "неклиентов",  бесплатно и без СМС).
Тупо из-за "шутников"/злоупотреблений этой возможностью.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

53. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от Аноним. on 21-Май-18, 10:48 
Он в контакте с сетью, пассивный режим вроде как не предусмотрен.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

16. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  –1 +/
Сообщение от цвфцв on 18-Май-18, 13:25 
Это вовсе не уязвимость какого-то там сервиса, это уязвимость всей мобильной инфраструктуры ака СС7.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от Аноним (??) on 18-Май-18, 13:32 
Я тоже об этом подумал, что сотовые операторы никакие данные сами не сливали в рамках соглашений, просто сервис оплатил подключение к SS7 и сам эти данные запрашивал. Но мне что-то казалось, что теме уже много лет и что все операторы внедрили файрволы, блокирующие передачу подобных данных посторонним.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

33. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  –2 +/
Сообщение от Аноним (??) on 18-Май-18, 16:18 
> уже
> много лет и что все операторы внедрили файрволы, блокирующие передачу подобных
> данных посторонним.

Вот наивный. Я пока не пришёл к своему оператору и сам не попросил это сделать они даже не почесались. Ну по крайней мере теперь с меня не сдерут деньги за очередной платный дерьмо-сервис, потому что случайно нажал вызов, когда не до конца набрал номер или сервисный код.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

48. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от Аноним (??) on 18-Май-18, 23:02 
Я правильно понимаю, что ты попросил, и оператор внёс изменение в свою архитектуру и в продакшне?
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

51. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от Аноним (??) on 19-Май-18, 07:13 
> Я правильно понимаю, что ты попросил, и оператор внёс изменение в свою
> архитектуру и в продакшне?

Нет, теперь я не могу позвонить по короткому номеру или набрать платный сервис. А так же выйти в интернет со своей симки. Ничего вносить не надо, просто запрет на уровне оператора. Так же можно неугодные номера заблокировать, но аноним этого даже не знал. Поинтересовался бы хоть.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

52. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от Аноним (??) on 21-Май-18, 09:36 
Только проблему атак по ss7 это не решает.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

47. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от КО on 18-Май-18, 22:25 
Это именно уязвимость в протоколе сервиса. Кто угодно, НА ХАЛЯВУ, мог узнать что ему надо, а не по принципу первая доза бесплатно.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  –2 +/
Сообщение от Аноним (??) on 18-Май-18, 14:33 
Так вот почему у Бородача айфона нет...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от Аноним (??) on 18-Май-18, 15:00 
Не удивлюсь, если слив данных в LocationSmart присутствует как фича в любом операторском оборудовании, включая оборудование российских опсосов, и оно там включено по дефолту. А выключить некому, потому что настраивает оборудование иностранная фирма по отсосингу, которой нет нужды отключать этот функционал.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +1 +/
Сообщение от китайса on 18-Май-18, 15:10 
а засем нам, прастисе, сливать данныя в какое-там лаовайское локейшн, они наса за ето денги не платит.

васа фесебе сливась задача данные не наса, у них штатный интерфейса к базам васа абанента.

С увазение, васа китайса из иностранная фирма осень-плохой-дорога.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

49. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +1 +/
Сообщение от Аноним (??) on 18-Май-18, 23:04 
Ты забыл
>кешельбе-мешельбе
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

26. "Уязвимость в LocationSmart раскрывала местоположение клиенто..."  +/
Сообщение от Аноним (??) on 18-Май-18, 15:07 
Это криворукий сервис-агрегатор. Данные предоставляют провайдеры.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Уязвимость в LocationSmart позволяла отслеживать местоположе..."  +/
Сообщение от Аноним (??) on 19-Май-18, 02:46 
> в рамках предполагаемых партнёрских контрактов

"Я не халявщик, я партнер!" (c)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру