Воспользовавшись демо-версией на сайте LocationSmart, злоумышленник мог узнать местоположение абонента крупных американских и канадских операторов сотовой связи. Впрочем, при отсутствии хакерских талантов такую услугу можно просто купить.
Интерес к LocationSmart возник после того, как в The New York Times появилась новость о том, что другой аналогичный поставщик услуг по отслеживанию местоположения сотового телефона Securus Technologies передавал в офис шерифа в округе Миссисипи (штат Миссури) данные о местоположении клиентов практически любого крупного оператора мобильной сети. Оказалось, что эта компания работает, как посредник, и получает свои данные от той самой LocationSmart. Более того, указанная схема в США считается вполне законной, так как операторам запрещено передавать данные правительству, но властям не запрещается покупать личную информацию пользователей у посредников, что они с успехом и делали.
На сайте LocationSmart сообщается, что компания контролирует данные по 120 миллионам сотовых вышек и 1,5 миллиарда точек доступа Wi-Fi, с помощью которых может определить местонахождение конкретного абонента. В зону "ответственности" попадает 95% всех американских пользователей мобильных услуг или 400 миллионов устройств. Ранее на сайте был размещен список партнеров, у которых LocationSmart покупает данные (AT&T, Verizon, T-Mobile, Sprint, US Cellular, Virgin, Boost and MetroPCS), но сейчас страница доступна через кэш Google. В компании утверждают, что ее деятельность абсолютно законна.
Интерфейс демо-версии
На сайте LocationSmart каждый желающий мог воспользоваться демо-версией, которая позволяла потенциальным клиентам проверить работоспособность системы. Для того чтобы понять, как это работает, пользователю достаточно было ввести в форму имя, адрес электронной почты и номер телефона. После этого указанному абоненту приходило сообщение с предложением разрешить определение положения относительно ближайшей базовой станции. После подтверждения потенциальный клиент получал сведения о приблизительной долготе и широте с нанесением координат на карту Google Street View. Также сервис потенциально собирает и хранит множество технических данных о конечном мобильном устройстве, например, он определяет точность, скорость, высоту, точку доступа Wi-Fi или информацию о IP-адресе.
Все бы ничего, но до недавнего времени у любого подкованного гражданина была возможность бесплатно и анонимно получить данные о нахождении другого абонента. Об этом сообщил исследователь Robert Xiao из Human-Computer Interaction Institute:
"Я наткнулся на это почти случайно, и это было не слишком сложно. Это то, что можно обнаружить с минимальными усилиями. И суть в том, что я могу отслеживать мобильный телефон большинства людей без их согласия".
На своем сайте Роберт опубликовал механизм взлома, а ресурсу Krebsonsecurity Брайана Кребса передал информацию о своих изысканиях. Оказалось, что он, а после и Krebsonsecurity, воспользовавшись уязвимостью, без проблем получили данные о местонахождении нескольких человек в США и Канаде.
Об этом исследователь также поставил в известность и представителей LocationSmart, после чего демо-версию отключили, а на сайте компании появилось сообщение, что данная проблема за все время существования сервиса не привела к утечке данных.
