¿Qué es peor que las empresas que venden al por mayor las ubicaciones en tiempo real de los teléfonos móviles? No tomar precauciones de seguridad que eviten que las personas abusen del servicio. Ubicación inteligente Hizo ambas cosas, como indicaron numerosas fuentes esta semana.
La empresa está al lado de un truco de facil, una empresa en el lucrativo negocio de la comunicación entre reclusos; Ubicación Inteligente era el socio eso permitió al primero proporcionar ubicaciones de dispositivos móviles en tiempo real a las fuerzas del orden y otros. Existen muy buenas razones y métodos para establecer la ubicación del cliente, pero este no es uno de ellos.
Se supone que la policía y el FBI y similares van directamente a los transportistas para obtener este tipo de información. ¡Pero el papeleo es una molestia! Si los operadores permiten que LocationSmart, una compañía separada, acceda a esos datos, y LocationSmart los vende a otra persona (Securus), y esa otra persona los vende a las fuerzas del orden, ¡se requiere mucho menos papeleo! Eso es lo que Securus le dijo al senador Ron Wyden (D-OR) que estaba haciendo: actuar como intermediario entre el gobierno y los operadores, con la ayuda de LocationSmart.
El servicio de LocationSmart parece ubicar los teléfonos a través de las torres a las que se han conectado recientemente, brindando una ubicación en segundos a una distancia de unos pocos cientos de pies. Para probar que el servicio funcionó, la compañía (hasta hace poco) ofreció una prueba gratuita de su servicio en la que un posible cliente podía ingresar un número de teléfono y, una vez que ese número respondía afirmativamente a un mensaje de texto de consentimiento, se le devolvía la ubicación.
Funcionó bastante bien, pero ahora está fuera de línea. Porque en su entusiasmo por demostrar la capacidad de localizar un teléfono determinado, la empresa pareció olvidarse de asegurar la API por la que lo hizo, Informes de Brian Krebs.
Krebs escuchó al investigador de seguridad de CMU, Robert Xiao, quien descubrió que LocationSmart “no pudo realizar verificaciones básicas para evitar consultas anónimas y no autorizadas”. Y no a través de algún tipo de piratería dura, solo hurgando.
“Me topé con esto casi por accidente, y no fue muy difícil de hacer. Esto es algo que cualquiera podría descubrir con un mínimo esfuerzo”, le dijo a Krebs. Xiao publicó los detalles técnicos aquí..
Verificaron que la puerta trasera de la API funcionaba probándola con algunas partes conocidas, y cuando informaron a LocationSmart, el director ejecutivo de la empresa dijo que investigarían.
Esto es suficiente problema por sí solo. Pero también pone en duda lo que dicen las compañías inalámbricas sobre sus propias políticas de compartir la ubicación. Cuando Krebs se puso en contacto con los cuatro principales operadores de EE. UU., todos dijeron que todos requerían el consentimiento del cliente o solicitudes de aplicación de la ley.
Sin embargo, al usar la herramienta de LocationSmart, los teléfonos podrían ubicarse sin el consentimiento del usuario en los cuatro operadores. Ambas cosas no pueden ser verdad. Por supuesto, uno solo fue demostrado y documentado, mientras que el otro es una garantía de una industria infame por el engaño y la mala política de privacidad.
Hay tres opciones que se me ocurren:
LocationSmart tiene una forma de encontrar la ubicación a través de torres que no requiere autorización de los transportistas en cuestión. Esto parece poco probable por razones técnicas y comerciales; la compañía también incluyó a los transportistas y otras compañías en su página principal como socios, aunque desde entonces se han eliminado sus logotipos. LocationSmart tiene una especie de clave maestra para la información del operador; se puede suponer que sus solicitudes son legítimas porque tienen clientes encargados de hacer cumplir la ley o similares. Esto es más probable, pero también contradice el requisito de los transportistas de que requieren el consentimiento o algún tipo de justificación de aplicación de la ley. Los transportistas en realidad no verifican caso por caso si una solicitud tiene consentimiento; pueden imponer ese deber a quienes realizan las solicitudes, como LocationSmart (que solicita consentimiento en la demostración oficial). Pero si los transportistas no piden el consentimiento y los terceros tampoco, y ninguno responsabiliza al otro, es posible que no exista el requisito del consentimiento.
Ninguno de estos es particularmente alentador. Pero nadie esperaba que saliera nada bueno de una API mal protegida que permitía a cualquier persona solicitar la ubicación aproximada del teléfono de cualquier persona. Le pedí a LocationSmart que comentara cómo fue posible el problema (y también a Krebs por un poco de información adicional que podría arrojar luz sobre esto).
Vale la pena mencionar que LocationSmart no es el único negocio que hace esto, solo el hoy implicado en esta falla de seguridad y en las prácticas turbias de Securus.
Actualizar: LocationSmart ha enviado la siguiente declaración:
LocationSmart proporciona una plataforma de movilidad empresarial que se esfuerza por brindar eficiencias operativas seguras a los clientes empresariales. Toda divulgación de datos de ubicación a través de la plataforma de LocationSmart depende de que primero se reciba el consentimiento del suscriptor individual. La vulnerabilidad del mecanismo de consentimiento identificado recientemente por el Sr. Robert Xiao, un investigador de seguridad cibernética, en nuestra demostración en línea se resolvió y la demostración se deshabilitó. Además, hemos confirmado que la vulnerabilidad no se aprovechó antes del 16 de mayo y no resultó en la obtención de información del cliente sin su permiso. Ese día, el Sr. Xiao localizó hasta dos docenas de suscriptores a través de su explotación de la vulnerabilidad. Con base en las declaraciones públicas del Sr. Xiao, entendemos que esos suscriptores fueron localizados solo después de que el Sr. Xiao obtuviera personalmente su consentimiento. LocationSmart continúa con sus esfuerzos para verificar que no se haya accedido a la ubicación de un solo suscriptor sin su consentimiento y que no existan otras vulnerabilidades. LocationSmart está comprometido con la mejora continua de sus medidas de seguridad y privacidad de la información y está incorporando lo que ha aprendido de este incidente en ese proceso.
Esto no aclara mucho las cosas. El consentimiento parece ser una consideración secundaria, en realidad no es “requerido” por el transportista. Es posible que las empresas como LocationSmart solo tengan que aceptar que obtendrán el consentimiento para obtener acceso a los servicios de ubicación de la torre del operador, en realidad no deben proporcionar ninguna prueba de que se obtuvo el consentimiento.
Source link