还有比大量出售手机实时位置数据更恶劣的公司吗?答案是肯定的,有些公司就没有采取任何安全预防措施,预防人们滥用这项服务。正如多个消息源本周所指出的那样,这两件事 LocationSmart都在做。
在 Securus 计算机系统遭到黑客攻击 后,LocationSmart 一些见不得光的行为也随之曝光。Securus 从事着一项利润丰厚的业务——追踪监狱犯人的通话记录;LocationSmart 是美国四大运营商的合作伙伴 ,得益于这种合作关系,前者可以向执法部门和其他机构实时提供移动设备定位数据。获取客户地理位置数据的 *** 和理由不胜枚举,但 LocationSmart 的理由却不充分。
警方和中央情报局等执法机构虽然可以直接向电信运营商索要此类信息,但相关手续非常繁杂。如果运营商允许 LocationSmart 这家独立的公司访问那类数据,而 LocationSmart 又将其卖给第三方(如 Securus),最后再由第三方转手卖给执法机构,整个过程就少了很多手续。这恰恰是 Securus 告诉参议员罗恩·韦登(Ron Wyden)他们正在做的事情:在 LocationSmart 的帮助下,充当 *** 与运营商之间的中间人。
通过手机最近连接到的信号发射塔,LocationSmart 的服务可以定位手机位置,并在几秒钟内将手机位置锁定在几百英尺以内。为了证明这项服务有效,该公司最近推出了服务免费试用活动:潜在客户可以输入 *** 号码,一旦该号码对其收到的信息回复“同意”,手机位置便会立即被返回。
这种服务表现非常好,但现在已经下线。据布赖恩·克雷布斯(rian Krebs)报道 ,由于对成功定位某部手机过于兴奋,LocationSmart 似乎忘了确保 API 的安全。
克雷布斯从 CMU 安全研究人员罗伯特·肖(Robert Xiao)那里了解到,他发现 LocationSmart“未能执行最基本的检查步骤以防止匿名和未经授权的查询”。
“我意外发现了这种情况,而且做起来并不难。这是任何人不费吹灰之力就可以发现的东西,”罗伯特·肖告诉克雷布斯。他在 一篇博文 中详细描述了技术细节。
他们通过与一些知名公司合作进行测试,验证了 API 的后门,当他们通知 LocationSmart 时,该公司首席执行官表示他们将进行调查。
这本身就足以带来问题。此外,它也引发了一个疑问,即运营商如何看待他们自己的位置共享政策。当克雷布斯就此与美国四大运营商联系时,他们都表示需要客户同意或执法部门的要求。
然而,使用 LocationSmart 的工具,手机可能会在没有征得所有四家运营商的用户同意情况下被定位。这两件事都不是真的。当然,其中一件事只是得到证实和记录,而另一件事则是来自一个隐私政策以欺骗著称的行业的保证。
依我看,LocationSmart 无非有三种选择:
这些选择都不是特别地令人振奋。但是,没人指望一个安全性较差的 API 能给我们带来什么好处——这个 API 让人可以请求获得任何人手机的大 *** 置。我已经给 LocationSmart 发去电子邮件,希望该公司对如何出现这个问题发表评论。
值得一提的是,LocationSmart 并不是唯一从事这种业务的企业,只是在今天这种安全环境下以及 Securus 的违规操作中被牵扯了进来。
稿源:TechCrunch,翻译:皓岳,封面源自 *** ;
包含敏感数据的数千个 Firefox cookie 数据库目前出现在 GitHub 的存储库中,这些数据可能用于劫持经过身份验证的会话。这些 cookies.sqlite 数据库通常位于 Firefox 配置文件文件夹中。它们用于在浏览会话之间存储 cookie。现在可以通过使用特定查询参数搜索 G...
位于乌克兰的Setapp开发商MacPaw已经创建了一个Mac应用程序,供用户了解他们的数据是否被保存在俄罗斯服务器上,依照该国法律可以被当局读取。总部位于乌克兰基辅的MacPaw已经告诉用户,尽管俄罗斯入侵该国,但这家乌克兰公司开发的软件作品Setapp、CleanMyMac X等将继续提供支持。...
FBI日前警告称,勒索软件集团正在瞄准涉及重大的、时间敏感的金融事件–如兼并和收购的公司,以此来胁迫受害者支付其赎金要求。FBI在本周写给私营公司的一份咨询中指出,网络犯罪分子在针对参与重大金融事件的公司时往往试图找到非公开信息,如果他们不支付赎金要求网络犯罪分子就会威胁公布这些信息。 “在最初的...
为了迎接今年 5 月首个周四的“世界密码日”的到来,USA Today 觉得很有必要继续提醒大家提升安全意识。首先是尽量为工作、娱乐、网银、网购等各种在线活动配备强密码,且需避免使用同一个密码,以免所有账号被攻击者一锅端。 资料图(来自:Bitwarden) 业内知名开源密码器(US News &...
Hackernews 编译,转载请注明出处: 研究人员发现了一种新的针对中东和亚洲电信和 IT 服务提供商的间谍黑客活动。 这项攻击活动已经进行了六个月,操作者似乎与伊朗支持的攻击者 MERCURY (又名 MuddyWater,SeedWorm,或 TEMP.Zagros)有关。 这份报告来自...
在2019年9月至2021年4月期间,Palo Alto Network的Unit 42监测了防火墙流量和由URL过滤器检测到的钓鱼网站。当人们纷纷开始在家工作时,每周新的网络钓鱼页面的数量明显增加。 威胁者通过利用员工不受企业防火墙保护的远程工作环境,改进并加强了他们的网络钓鱼攻击。网络安全专家...