美國資安漏洞令數百萬手機位置曝光,更出現非法監視情事

作者 | 發布日期 2018 年 05 月 18 日 11:58 | 分類 資訊安全 follow us in feedly

一家提供即時定位服務的公司 LocationSmart 洩漏了高達數百萬民眾的個資,更傳出電信商大批銷售此類資訊的消息。



LocationSmart 手機追蹤服務,被公開展示其網站上的漏洞可以令使用者不經過任何同意即可取得大量其他人的即時位置。通常這樣的功能只會開放給相關的執法機構,且卡內基美隆大學的研究員指出,LocationSmart 所存在的隱私漏洞,無論是何種手機操作系統或隱私設置都可以生效,民眾無法單方面選擇退出。

雖然此一漏洞已在 17 日被修補,但此事並未就這樣結束,其合作夥伴 Securus 監獄通信服務公司被爆出可以藉由 Location Smart 的管道即時獲得各大電信商所擁有的位置資料,引發了國會關注。根據《紐約時報》的報導,一位警長曾以此途徑,在未經過法院命令的核可下,獲得個人資料,而更可怕的是,有駭客也透過此管道獲得許多執法人員的資料。

民主黨參議員 Ron Wyden 公開指責,LocationSmart 跟 Securus 的組合就是美國隱私法最大的漏洞,他在聲明中強調,這可能讓犯罪分子輕易得知民眾何時不在家,或是處在偏僻地區,將助長犯罪行為。而發現該漏洞的研究員也稱,這套系統幾乎可以找到任何美國人的手機位置。

而 LocationSmart 也自稱是全球最大的定位服務公司,可以從美國和加拿大所有主要電信商公司獲得資訊,覆蓋率高達 95%,可以非常快速的找到任何一支手機的位置。的確經實測在 15 秒內即可獲得精確的位置傳遞,且正常狀況下,僅會在緩存內待 2 分鐘。但透過針對性的演算法,即可任意利用這龐大的資料。

值得省思的是,今日 LocationSmart 與 Securus 所產生的疑慮,並非美國隱私法不夠嚴格,而就是因為相當嚴格,所以才會想出這樣間接的方式,透過 LocationSmart 與 Securus 的中介來繞過法規,取得原本規定電信商不可隨意外漏的個人資料,而當初被起訴的警長,目前也未獲罪。連續的幾起事件恐怕還會繼續發酵。

(首圖來源:shutterstock)

延伸閱讀: