位置数据公司LocationSmart被曝存漏洞:不法分子可轻易获取公民位置信息
作者:陈启临
编辑:秦 川
成立于1995年的美国位置数据公司LocationSmart近日被卷入了一场涉嫌泄露公民位置信息的风波。
据悉,LocationSmart公司的核心技术,是通过与美国四大运营商(AT&T,Sprint,T-Mobile或Verizon)的合作,基于通信基站以三角测量等方法,解析用户手机所在的大概位置,进而获得用户的实时位置信息;LocationSmart公司会将这些解析出来的用户位置信息提供给需要的客户,其业务覆盖范围目前已囊括商业营销、资产追踪、员工监管、警务追查等领域。
LocationSmart公司一直以来都在做出承诺,他们不会泄露公民隐私或者滥用公民的实时位置数据,即便公民处于他们的服务当中,也会被提前告知公民是否许可提供当前的位置信息;如果面向政府或警务的犯人监管,通常也会有法院文件的授权文书,允许警务人员合法地对犯人实施位置监控。然而这一次,问题还是出现在他们所提供的服务当中。
根据网络安全博客KrebsOnSecurity的报道,LocationSmart公司向客户提供实时获取公民位置信息的API存在着漏洞,对任何发现该隐患的开发者或黑客来说,他们可以无需经过授权许可,就能在几秒内获取任何公民的实时位置,其精度范围可以达到几百米左右。
而KrebsOnSecurity博客获得此次信息的来源,由卡内基梅隆大学的安全研究员罗伯特·肖(Robert Xiao)提供,罗伯特在其个人网站中发文指出,LocationSmart向公众提供了一个试用页面(原链接地址为:www.locationsmart.com/try/),任何人都可以在该页面输入一个手机号码,当该号码的主人同意位置调用请求(通过短信或电话进行确认)后,该号码主人的实时位置就能回传到这个试用页。
可轻松绕过许可的脚本代码
但罗伯特表示,手机号码主人对于位置获取请求的许可环节,可以被一段脚本代码轻松绕过。一旦该脚本被执行,意味着几乎全美的公民实时位置隐私,都将暴露无遗;特别是对于不法分子而言,他们可以掌握某些目标人群的实时位置,并带去极大的人身威胁。
不过,在这一事件被第一时间披露之后,LocationSmart公司就关闭了那个试用页面,其创始人兼CEO马里奥·普罗耶蒂(Mario Proietti)公开表示,他们已经着手调查此事,并再次声明用户的位置数据会通过授权后才可以被合法使用。
Securus的平台
但这样的解释并不意味着LocationSmart公司能马上独善其身,隐私信息被滥用的阴云,不久前就已经将他们的合作伙伴——另一家位置数据服务公司Securus Technologies也牵扯其中。
克里·哈奇森
根据纽约时报于5月10日的报道称,来自美国密苏里州密西西比县的一位前警长克里·哈奇森(Cory Hutcheson)被指控使用Securus公司提供的私有服务来监视公民及其他同僚的手机,并且这样的行为没有获得法院的文书许可。据悉该服务同样可以在未经许可的情况下,数秒内获取被监视手机的所在位置。报道还指出,在2014年至2017年间,哈奇森至少使用过11次该服务,其使用的对象,包括了一位法官,以及国家公路巡警队的若干成员。不过,哈奇森去年因为另外一件事被解雇了。
Securus公司是全美数以千计的监狱以及警务部门对嫌犯进行有效监视和追踪的技术与服务的供应商。例如此前有吸毒女性从戒毒所出逃后,被惩教人员用Securus公司的手机位置追踪技术迅速找到;此外还有警方使用该服务将杀人嫌犯锁定在了10米左右的范围内。要知道,负责给Securus公司提供手机实时位置数据的公司,实际上就是LocationSmart公司。
因此,除了KrebsOnSecurity和罗伯特所共同披露的事件外,Securus公司和LocationSmart公司都很难撇清他们很早以前就已经开辟后门程序给一些人或组织的嫌疑。
尽管哈奇森当时如何非法获取公民和同僚位置信息的事件仍在调查之中,但Securus官方宣称,在给客户提供公民或者嫌犯的位置信息时,他们都需要客户必须出示相应的许可文书,或者法律文件。
不过,据纽约时报的报道称,一位来自俄勒冈州的民主党参议员在递交给联邦通信委员会的一封信件中表示,Securus公司强调他们有文书或法律文件就可以提供这样的服务,仍是不可取的,因为通讯运营商同样有责任采取措施保障公民的隐私不被泄露和滥用。
而Securus公司作为一家成立于1986年的老牌位置服务公司,其面向犯人追踪的核心业务早已开展,包括位置获取的相关流程在各个使用单位已经根深蒂固,因此想要进一步提高对公民隐私的保护,确保不被非法窃取和利用,仍有待于企业间的深入合作,甚至是从立法层面的协调。
针对LocationSmart公司和Securus公司此次被曝出的事件,美国四大网络运营商们的态度也趋于一致:如果客户(公民)的隐私数据存在着被滥用的现象,他们将采取适当的行动予以制止。当前阶段,运营商们已经在就Securus公司的问题展开了详细的调查。
深入阅读|点击图片或标题