SIKKERHET

Nettside lekket posisjonen til nesten alle telefoner i USA

Locationsmarts demoside er nå tatt ned.
Locationsmarts demoside er nå tatt ned. Foto: Skjermdump
18. mai 2018 - 18:00

Det amerikanske selskapet Locationsmart har lekket svært presise sanntids posisjonsdata for nesten alle mobiltelefoner i USA, skriver Krebs on Security

Selskapet samler posisjonsdata fra telefoner tilknyttet mobilnettene til AT&T, Sprint, T-Mobile og Verizon, og selger disse videre.  Telefonene lokaliseres ved å se hvilke mobilmaster telefonene er koblet til, slik at man i løpet av sekunder kan finne posisjonen med en nøyaktighet på i mange tilfeller under hundre meter.

Demofunksjon manglet grunnleggende sikkerhet

Locationsmart har en demofunksjon hvor alle som vil kan finne den omtrentlige posisjonen til sin egen mobiltelefon ved å taste inn navn, epostadresse og telefonnummer. Brukeren får da en SMS hvor hun eller han kan gi tillatelse til å «pinge» nærmeste mobilmast. I retur får man posisjonen plottet inn på et Google-kart.

Sikkerhetsekspert Robert Xiao ved Carnegie Mellon University oppdaget imidlertid at demofunksjonen mangler grunnleggende funksjonalitet for å forhindre at noen ber om posisjonen til en annen telefon enn den man selv eier. Det er lett å omgå kravet om at brukeren selv må godkjenne å la seg spore. De tekniske detaljene om hvordan det gjøres ligger her

Xiao tok kontakt med Krebs on security, som skrev om saken. Krebs on Security fikk tillatelse til å spore telefonene til fem ulike personer, og i løpet av sekunder kunne de se posisjonen til alle sammen – uten at forsøkspersonene selv måtte godkjenne noe. 

Locationsmart oppgir at de kun tilbyr posisjoneringstjenester for legitime formål – men på selskapets nettsider nevnes alt fra overvåking av hvor ansatte befinner seg til bruk innenfor markedsføring mot forbrukere som befinner seg i bestemte områder.

Selskapet selger også posisjonsdata til selskapet Securus, som ifølge Motherboard ble utsatt for et hackerangrep for noen dager siden. Securus leverer posisjonering av telefoner til amerikanske politimyndigheter og fengselsvesen, og fungerer som et slags mellomledd mellom amerikanske mobiloperatører og amerikanske myndigheter. New York Times skrev nylig om hvordan tjenesten som er ment å overvåke samtaler til personer som sitter i fengsel, også kan brukes til å overvåke tilfeldige personer.

– Vi tar personvern på alvor

I en uttalelse til Krebs on Security sier Locationsmarts toppsjef Mario Proietti at selskapet nå undersøker saken.

– Vi gir ikke bort data. Vi gjør de tilgjengelig for legitime og autoriserte formål. Det er basert på legitim og autorisert bruk av lokasjonsdata som kun gis ut når brukeren har gitt tillatelse. Vi tar personvern på alvor og vi vil gå gjennom alle fakta, sier Proietti.

Ingen av de store mobilselskapene i USA har villet verken bekrefte eller avkrefte at de har et samarbeid med Locationsmart, men Locationsmart oppgir operatørene som samarbeidspartnere på sine nettsider. AT&T sier til Krebs on security at de ikke tillater deling av posisjonsinformasjon uten at kunden selv har godkjent det, eller etter krav fra rettsmyndigheter. 

Demotjenesten er nå tatt ned.  

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.