یک شرکت گردآورنده اطلاعات میلیونها اسمارتفون باگی دارد که باعث فاش شدن مکان کاربران میشود
یک باگ در وبسایت شرکتی یافت شده که گردآوردنده اطلاعات بیدرنگ مکانی میلیونها مشتری تلفن همراه در امریکای شمالی است.
این باگ به هر فردی اجازه میدهد موقعیت مکانی کاربران دیگر را بدون اجازه او به صورت بیدرنگ و آنلاین مشاهده و ردگیری کند.
اوایل این هفته خبری منتشر شد که چهار اپراتور بزرگ مخابراتی ایالات متحده، اطلاعات موقعیت مکانی بیدرنگ کاربرانشان را به شرکتی میفروشند که ناماش را هرگز تا کنونی کسی نشنیده است.
این شرکت به نام «LocationSmart» یک جمعکننده واقعی اطلاعات کاربران است و مدعی است ارتباط و همکاری مستقیمی با اپراتورهای موبایل برای دستیابی به اطلاعات مکانی آنلاین کاربران دارد. این شرکت اطلاعات کاربران را از روی نزدیکترین برجهای سلول به دست میآورد.
سایت شرکت «LocationSmart» دارای صفحهای به نام «try-before-you-buy» است که از کاربران میخواهد این اطلاعات را آزمایش کند. این سایت به طور صریح نیاز به رضایت کاربران پیش از مشاهده اطلاعات مکانی او به صورت آنلاین دارد.
این سایت یک پیام متنی به کاربر میفرستد و برای ردگیری موقعیت مکانیاش از کاربر اجازه میگیرد. ولی اکنون، باگی در این سایت یافت شده است که بدون نیاز به ارسال این پیام متنی و کسب اجازه، میتواند اطلاعات مکانی کاربران را نمایش دهد.
به سخره گرفتن حریم خصوصی
محققان امنیتی میگویند سایت شرکت «LocationSmart» بسیار ساده و مبتدیانه برنامهنویسی شده است بهطوریکه یک اشکال بسیار ابتدایی به هر فردی اجازه میدهد بدون نیاز به رضایت کاربران دیگر، موقعیت مکانی آنها را به طور آنلاین ردگیری کند.
یک API استفاده شده در صفحه «try» این سایت عملکرد صحیحی ندارد و بدون نیاز به احرازهویت و اعتبارسنجی رضایت کاربران؛ اجازه ردگیری اطلاعات مکانیشان را میدهد.
محققان این باگ سایت «LocationSmart» را بارها آزمایش کردند. ابتدا اطلاعات مکانی فردی را به دست آورده و بعد با وی تماس گرفتند. این افراد اظهار میکردند هیچگونه اطلاعاتی از ردگیری اطلاعات مکانیشان نداشتند و ازشان اجازهای گرفته نشده است.
به نظر میرسد هیچگونه نظارت امنیتی نیز روی این سایت انجام نمیشود. حدود ۲۰۰ میلیون کاربر موبایل در ایالات متحده توسط این سایت ردگیری میشوند و اطلاعات مکانیشان در معرض خطر هستند.
گزارشی از نشریه نیویورکتمایز نیز نشان میدهد یک پلیس سابق امریکا به کمک سایت «LocationSmart، بدون اجازه یکی از کارکنان شرکت «Securus» را بدون اجازه شنود و ردگیری کرده است. شرکت «Securus» یکی از مشتریان «LocationSmart» است.
این پلیس به خاطر دسترسی بدون اجازه به اطلاعات کاربران مجرم شناخته نشده است.
این رسوایی نشان میدهد چگونه شرکتهای کوچک در ایالات متحده میتوانند با همکاری اپراتورها حریم خصوصی کاربران را نقض کنند و بالاتر از آن، امنیت مالی و خانوادگی این کاربران را به خطر بیندازند.
اپراتورهای AT&T، ورایزون، اسپرینت وعده دادند این موضوع را بررسی کنند و اپراتور تیموبایل هنوز اظهار بیاطلاعی میکند.