یک شرکت گردآورنده اطلاعات میلیون‌ها اسمارت‌فون باگی دارد که باعث فاش شدن مکان کاربران می‌شود

یک باگ در وب‌سایت شرکتی یافت شده که گردآوردنده اطلاعات بی‌درنگ مکانی میلیون‌ها مشتری تلفن همراه در امریکای شمالی است.

این باگ به هر فردی اجازه می‌دهد موقعیت مکانی کاربران دیگر را بدون اجازه او به صورت بی‌درنگ و آنلاین مشاهده و ردگیری کند.

اوایل این هفته خبری منتشر شد که چهار اپراتور بزرگ مخابراتی ایالات متحده، اطلاعات موقعیت مکانی بی‌درنگ کاربران‌شان را به شرکتی می‌فروشند که نام‌اش را هرگز تا کنونی کسی نشنیده است.

این شرکت به نام «LocationSmart» یک جمع‌کننده واقعی اطلاعات کاربران است و مدعی است ارتباط و همکاری مستقیمی با اپراتورهای موبایل برای دستیابی به اطلاعات مکانی آنلاین کاربران دارد. این شرکت اطلاعات کاربران را از روی نزدیک‌ترین برج‌های سلول به دست می‌آورد.

سایت شرکت «LocationSmart» دارای صفحه‌ای به نام «try-before-you-buy» است که از کاربران می‌خواهد این اطلاعات را آزمایش کند. این سایت به طور صریح نیاز به رضایت کاربران پیش از مشاهده اطلاعات مکانی او به صورت آنلاین دارد.

این سایت یک پیام متنی به کاربر می‌فرستد و برای ردگیری موقعیت مکانی‌اش از کاربر اجازه می‌گیرد. ولی اکنون، باگی در این سایت یافت شده است که بدون نیاز به ارسال این پیام متنی و کسب اجازه، می‌تواند اطلاعات مکانی کاربران را نمایش دهد.

به سخره گرفتن حریم خصوصی

محققان امنیتی می‌گویند سایت شرکت «LocationSmart» بسیار ساده و مبتدیانه برنامه‌نویسی شده است به‌طوری‌که یک اشکال بسیار ابتدایی به هر فردی اجازه می‌دهد بدون نیاز به رضایت کاربران دیگر، موقعیت مکانی آن‌ها را به طور آنلاین ردگیری کند.

یک API استفاده شده در صفحه «try» این سایت عملکرد صحیحی ندارد و بدون نیاز به احرازهویت و اعتبارسنجی رضایت کاربران؛ اجازه ردگیری اطلاعات‌ مکانی‌شان را می‌دهد.

محققان این باگ سایت «LocationSmart» را بارها آزمایش کردند. ابتدا اطلاعات مکانی فردی را به دست آورده و بعد با وی تماس گرفتند. این افراد اظهار می‌کردند هیچ‌گونه اطلاعاتی از ردگیری اطلاعات مکانی‌شان نداشتند و ازشان اجازه‌ای گرفته نشده است.

به نظر می‌رسد هیچ‌گونه نظارت امنیتی نیز روی این سایت انجام نمی‌شود. حدود ۲۰۰ میلیون کاربر موبایل در ایالات متحده توسط این سایت ردگیری می‌شوند و اطلاعات مکانی‌شان در معرض خطر هستند.

گزارشی از نشریه نیویورک‌تمایز نیز نشان می‌دهد یک پلیس سابق امریکا به کمک سایت «LocationSmart، بدون اجازه یکی از کارکنان شرکت «Securus» را بدون اجازه شنود و ردگیری کرده است. شرکت  «Securus» یکی از مشتریان «LocationSmart» است.

این پلیس به خاطر دسترسی بدون اجازه به اطلاعات کاربران مجرم شناخته نشده است.

این رسوایی نشان می‌دهد چگونه شرکت‌های کوچک در ایالات متحده می‌توانند با همکاری اپراتورها حریم خصوصی کاربران را نقض کنند و بالاتر از آن، امنیت مالی و خانوادگی این کاربران را به خطر بیندازند.

اپراتورهای AT&T، ورایزون، اسپرینت وعده دادند این موضوع را بررسی کنند و اپراتور تی‌موبایل هنوز اظهار بی‌اطلاعی می‌کند.

منبع