圖片來源: 

Robert Xiao

卡內基梅隆大學人機互動學院的研究人員Robert Xiao本周揭露LocationSmart網站服務的一個安全漏洞,駭客藉由此一名不見經傳的網站上可能取得美國與加拿大近2億名手機用戶的位置。

LocationSmart提供了手機位置追蹤服務,與美國的Verizon、AT&T、T-Mobile、Sprint與加拿大的Canadian carriers Bell、Rogers及Telus等電信業者合作,透過基地台三角定位取得精確度在數百呎內的行動手機用戶位置,再將這些資料出售給其它業者以協助定位或作為行銷之用。

Xiao強調,由於LocationSmart的資料來自於電信業者,因此不論用戶裝置的作業系統或隱私設定為何,LocationSmart都能取得裝置用戶的大概位置。

為了示範該平台的功能,LocationSmart提供了一個測試網頁,讓使用者輸入自己的手機號碼,並藉由簡訊或電話揭露使用者位置,然而,Xiao卻發現該測試網頁含有一漏洞,在未經由其它用戶的同意下取得其它手機用戶的位置。

Xiao是在5月16日發現該漏洞,且先知會了美國電腦網路危機處理中心(US-CERT),並在LocationSmart於隔天修補該漏洞之後才公布。


Advertisement

更多 iThome相關內容