用戶位置信息泄露，誰來承擔？

一家收集北美數百萬手機用戶實時地理位置數據的公司在其網站上有一個技術性漏洞：所有人都可以看到用戶所在的地理位置——但是不需要獲得用戶的同意。

早在這個星期，我們就報道了美國4個最大的手機公司向一家公司兜售用戶的實時地理位置，而你可能從來沒有聽說過這家公司的名字。

這家名為LocationSmart的公司是一家數據整合公司，該公司稱他們與手機運營商有「直接的聯繫」，能夠通過附近的基站獲取到用戶的地理位置。這個網站有個"try-before-you-buy"（「買前試用」）的頁面，能夠讓你檢測這一數據的準確性。這個網站會向用戶發送一次性簡訊，在得到用戶的明確同意後，才會使用用戶的位置數據。我們和同事進行了一次試驗，我們追蹤到了他在街區的實時地理位置。

但是網站有一個漏洞，所有人都可以默默追蹤到其他人的信息，但是並不需要獲得用戶的許可。

「由於這個非常低級的漏洞存在，你可以直接跳過獲取用戶同意的部分，然後直接獲得用戶的地理位置。」Robert Xiao在電話中說道，他是梅隆大學人機交互學院的一名博士生。

「這就意味著LocationSmart從來就沒有想過要獲取用戶的同意，」他說道，「所以該網站上並無任何安全管控。」

在計算機緊急響應組（位於梅隆大學的一個公共漏洞資料庫）的幫助下，Xiao向該公司透露這一漏洞的存在後，該網站就下線了。

Xiao說這一漏洞差不多會波及到美國和加拿大的每一位手機用戶，約有2億用戶會受到影響。

研究人員說他在看了ZDNet本周的報道後，就開始關注LocationSmart的網站。在此之前《紐約時報》的一篇報道稱，一名前警長在沒有被授權的情況下，對從Securus（LocationSmart的客戶）獲取到的電話位置數據進行窺探。

這名警長對非法監控的指控，並不認罪。

Xiao說在這個允許用戶試用位置功能的頁面所使用的API並沒有相應地喚醒同意認證步驟。Xiao說要想跳過API向用戶發送信息從而獲取同意的部分，其實特別簡單。

「這是一個特別簡單的漏洞，簡單到你感到驚訝。」他說道。

Xiao向ZDNet展示了一個視頻，視頻內容是他所創建的一個用來開發該公司API漏洞的一個腳本。

LocationSmart並沒有立即對此事作出任何回應。

Xiao和一些他認識的人證實了這一漏洞。Brian Krebs在今天早上也上報了這一漏洞，並且在獲取一些人的同意後，也對這個漏洞進行了證實。

「並沒有一位用戶收到他們的位置正在被追蹤的通知，」他說道。

「我有一位朋友，他當時正在夏威夷開車，在獲得他的同意後，發送了他的位置信息，我看到了地圖上的標誌器在島周圍移動，」他說道：「這個有點讓人毛骨悚然。」

Sen. Ron Wyden在上周和運營商進行了一次通話，他要求運營商停止向第三方分享數據，他也向我們表達了他的看法。

「在Securus安全事件爆發幾天後，就又被爆出了這一漏洞，這表明無線生態系統領域的公司對美國人的數據安全保護無動於衷，」Wyden說道。

「它所帶來的危險是很明顯的，不僅會威脅到個人隱私，還會影響到美國每戶家庭的經濟以及個人安全。由於他們只在乎利潤，而對受追蹤的美國人的隱私和安全置之不理，無線運營商和LocationSmart似乎讓那些只要有點網頁技術的黑客，都能夠通過一部手機從而追蹤到任何美國人的位置信息，」他說。

Wyden說來自LocationSmart和其它公司的安全隱患是不可估量的。

「如果美國聯邦通訊委員會（FCC）對此事件沒有任何作為，那麼未來美國的犯罪都會直指委員的頭部。」他說道。

我們聯繫了所有的運營商，包括AT&T，Verizon和Sprint，他們都說這在對此事進行調查，而T-Mobile並沒有對此作出任何回應。

但是這個剛被發現沒多久的漏洞，並沒有讓運營商終止這一獲取位置信息的行為，甚至也從來沒有想過這樣做。

原文作者：Zack Whittaker

編譯：信軟網

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！