Web filtra ubicación en tiempo real de la mayoría de celulares de Estados Unidos
Errores encontrados fácilmente en la demostración gratuita permiten a visitantes rastrear teléfonos de los cuatro principales operadores de EE. UU.
Un servicio poco conocido ha estado filtrando las ubicaciones en tiempo real de los usuarios de teléfonos celulares de EE. UU. a cualquiera que se tome el tiempo de explotar un error fácil de detectar en una función gratuita de prueba, informó el sitio de noticias de seguridad KrebsOnSecurity.
LocationSmart, como se conoce el servicio, identifica las ubicaciones de los teléfonos conectados a AT&T, Sprint, T-Mobile o Verizon, a menudo con precisión de cientos de metros, dijo el reportero Brian Krebs. Aunque la empresa afirma que proporciona el servicio de búsqueda de ubicación solo para fines legítimos y autorizados, Krebs informó que la herramienta de demostración del sitio web de LocationSmart podría ser utilizada por cualquiera para rastrear secretamente el paradero en tiempo real de casi cualquier persona.
La herramienta se facturó como una demostración que clientes potenciales podrían usar para ver la ubicación aproximada de su propio dispositivo móvil. Se requiere que las personas interesadas ingresen su nombre, dirección de correo electrónico y número de teléfono en un formulario. LocationSmart enviaría después un mensaje de texto al número telefónico y solicitaría permiso para consultar la torre de red celular más cercana al dispositivo. Robert Xiao, investigador de seguridad de la Universidad Carnegie Mellon, no tardó en encontrar una forma de evitar el requisito de autorización.
Como Krebs explicó:
De acuerdo con Xiao, candidato a doctorado en el Instituto de Interacción Humano-Computadora de la CMU, este mismo servicio no realizó comprobaciones básicas para evitar consultas anónimas y no autorizadas. Traducción: cualquiera con un poco de conocimiento sobre cómo funcionan los sitios web podría abusar del sitio demostración de LocationSmart para descubrir cómo realizar búsquedas de ubicación de números móviles a voluntad, todo sin tener que proporcionar una contraseña u otras credenciales.
"Me encontré con esto casi por accidente, y no fue terriblemente difícil de hacer", dijo Xiao. "Esto es algo que cualquiera podría descubrir con un mínimo esfuerzo". Y lo esencial es que puedo rastrear la mayoría de los celulares de la gente sin su consentimiento ".
Xiao dijo que sus pruebas demostraron que podía consultar confiablemente el servicio de LocationSmart para hacer ping a la torre del teléfono celular más cercana al dispositivo móvil de un suscriptor. Indicó que verificó el número de móvil de un amigo varias veces durante unos minutos mientras ese amigo se estaba moviendo. Al hacer ping a la red móvil del amigo varias veces durante varios minutos, pudo conectar las coordenadas en Google Maps y seguir el movimiento direccional del amigo.
"Esto es realmente espeluznante", dijo Xiao, y agregó que también había probado con éxito el servicio vulnerable contra un cliente móvil de Telus Mobility en Canadá que se ofreció voluntario para ser encontrado.
Antes de que la demostración de LocationSmart fuera desconectada el viernes, KrebsOnSecurity llamó a cinco fuentes confiables diferentes, las cuales dieron su consentimiento para que Xiao determinara el paradero de sus celulares. Pudo determinar en cuestión de segundos la consulta del servicio público de LocationSmart en la ubicación casi exacta del teléfono móvil que pertenece a las cinco fuentes.
Una de esas fuentes dijo que la longitud y la latitud devueltas por las consultas de Xiao llegaron a menos de 100 yardas de su ubicación en ese momento. Otra fuente dijo que la ubicación encontrada por el investigador estaba a 1.5 millas de distancia de su ubicación actual. Las tres fuentes restantes dijeron que la ubicación devuelta para sus teléfonos era de aproximadamente entre una quinta y una tercera parte de una milla en ese momento.
Xiao publicó una descripción detallada del error de la demostración. Mostró cómo los simples cambios en las solicitudes web fueron capaces de eludir el requisito de que la ubicación sea consultada solo después de que el usuario del teléfono haya aprobado.
Mario Proietti, fundador y CEO de LocationSmart, dijo a Krebs que nunca tuvo la intención de regalar el servicio. "Está disponible para fines legítimos y autorizados", dijo Krebs citando al CEO. "Se basa en el uso legítimo y autorizado de los datos de ubicación que solo se realiza con consentimiento. Nos tomamos en serio la privacidad y examinaremos todos los hechos".
La noticia de la filtración se produce cinco días después de que otro servicio poco conocido llamado Securus llamara la atención nacional después de que The New York Times informara que permitía a la policía localizar la mayoría de los celulares con sede en Estados Unidos en cuestión de segundos. Según ZDNet, Securus obtuvo la información a través de LocationSmart con sede en Carlsbad, California. Motherboard informó posteriormente que Securus experimentó su propia violación de seguridad que expuso nombres de usuario y contraseñas débilmente protegidas de miles de clientes de Securus.
En una declaración, el Senador Ron Wyden (D-Ore) escribió: "Esta filtración, que se produce días después de que se expuso la laxitud de la seguridad en Securus, demuestra cuán poco las empresas de todo el ecosistema inalámbrico valoran la seguridad de los estadounidenses. Representa un peligro claro y presente, no solo para la privacidad sino también para la seguridad financiera y personal de cada familia estadounidense. Debido a que valoran las ganancias por encima de la privacidad y seguridad de los estadounidenses cuyas ubicaciones trafican, los proveedores de servicios inalámbricos y LocationSmart parecen haber permitido que casi cualquier pirata informático con un conocimiento básico de sitios web rastree la ubicación de cualquier estadounidense con un celular".
Krebs se puso en contacto con los cuatro principales operadores de telefonía móvil de los EE. UU. Y todos se negaron a confirmar o negar una relación comercial formal con LocationSmart, a pesar de que LocationSmart exhibía los logotipos corporativos de los operadores en su sitio web. Un vocero de T-Mobile dijo que la compañía cerró rápidamente cualquier transacción de ubicación del cliente a Securus luego de que sus servicios fueran conocidos recientemente. Aparte de eso, las empresas remitieron a Krebs a sus políticas de privacidad, que impiden el intercambio de información de ubicación sin el consentimiento del cliente o una demanda de la policía.
Krebs citó a un funcionario de la Electronic Frontier Foundation que dijo que los operadores de telefonía móvil por ley deben conocer la ubicación aproximada de los clientes en caso de que los servicios de emergencia lo necesiten. Si los transportistas pueden vender o proporcionar la información a terceros es menos claro. Espera que haya mucho más escrutinio sobre esto en las próximas semanas y meses.
En una declaración enviada el viernes por la mañana, los funcionarios de LocationSmart escribieron:
LocationSmart proporciona una plataforma de movilidad empresarial que se esfuerza por brindar eficiencias operativas seguras a clientes empresariales. Toda la divulgación de datos de ubicación a través de la plataforma de LocationSmart se basa en el consentimiento que se recibe primero del suscriptor individual. La vulnerabilidad del mecanismo de consentimiento identificado recientemente por el Sr. Robert Xiao, un investigador de seguridad cibernética, en nuestra demostración en línea se ha resuelto y la demostración se ha desactivado. Además, confirmamos que la vulnerabilidad no se explotó antes del 16 de mayo y no se obtuvo información del cliente sin su permiso. Ese día, el Sr. Xiao localizó hasta dos docenas de suscriptores a través de su explotación de la vulnerabilidad. Con base en las declaraciones públicas del Sr. Xiao, entendemos que esos suscriptores se localizaron solo después de que el Sr. Xiao obtuvo personalmente su consentimiento. LocationSmart continúa con sus esfuerzos para verificar que no se haya accedido a la ubicación de un solo suscriptor sin su consentimiento y que no existan otras vulnerabilidades. LocationSmart está comprometido con la mejora continua de su privacidad de la información y medidas de seguridad y está incorporando lo que ha aprendido de este incidente en ese proceso.
Un recordatorio de que la información del cliente no es necesariamente lo mismo que la información que pertenece al público en general. Tampoco está claro cómo LocationSmart pudo determinar que la vulnerabilidad de fuga no se explotó hasta el miércoles.