Valószínűleg mindenki hallotta már, hogy a telefonok hozzávetőleges földrajzi helyzete a mobiltornyok jelei alapján, háromszögeléses módszerrel is bemérhető. Emiatt például a nyomozóhatóságoknak lehetőségük nyílhat arra, hogy bírói jóváhagyás birtokában kiderítsék az eljárás alatt álló személyek földrajzi helyzetét, már amennyiben ismerik a célszemélyek által éppen hordozott telefonok hívószámait.
Az Egyesült Államokban mára komplett üzletág épült a telefonok helyzetének a bemérésére. A LocationSmart nevű cég például hatóságok és vállalatok számára biztosít bemérőszolgáltatást, az USA területén lényegében
bármely a mobilhálózathoz épp csatlakozó telefon földrajzi helyzetét képes meghatározni.
A hatóságok célszemélyek helyzetének a meghatározására, míg a vállalatok a dolgozóik követésére használhatják a szolgáltatását. A háromszögeléses módszer miatt persze nem olyan precízek a LocationSmart koordinátái, mint a GPS-alapú megoldások adatai: akár több száz métert is tévedhet a rendszer, de adott esetben persze a semminél még ezek az adatok is jobbak.
A készülékek beméréséhez a LocationSmart sejthetően a mobilszolgáltatók infrastruktúráját használja, konkrétan az AT&T, Sprint, T-Mobile és Verizon négyessel van szerződése, ezek az USA legnagyobb mobilszolgáltatói.
A LocationSmart neve bő egy héttel ezelőttig lényegében ismeretlen volt a nagyközönség előtt, azzal került a hírekbe, hogy egy volt seriff közvetett módon a segítségével kémkedhetett mások holléte után. A vád szerint Cory Hutchesont valamilyen oknál fogva többek közt a rendőrtársai és egy bíró holléte is nagyon érdekelte, legalább 11 jogtalan lekérdezést hajthatott végre. Az egykori seriff tagadja, hogy illegálisan használta volna a helymeghatározási szolgáltatást.
A történet felkeltette a Carnegie Mellon Egyetem egyik kutatójának az érdeklődését, így ellátogatott a LocationSmart weblapjára. Meglepődve tapasztalta, hogy egy teljesen szabadon használható demóeszköz is található volt rajta, amellyel az érdeklődő internetezők bemérhették a saját mobiljaik földrajzi helyzetét, ezzel tesztelve a szolgáltatást.
Természetesen a cég nem akarta, hogy mások utáni kémkedésre használják az eszközt, így kissé kacskaringós módon működött.
A szolgáltatás kipróbálásához az érdeklődőknek elsőként meg kellett adniuk a nevüket, az e-mail-címüket és a telefonszámukat, mire a LocationSmart kiküldött SMS-ben egy ellenőrzőkódot a megadott telefonszámra. Ezt a kódot be kellett ütni a weblapon, mire a rendszer egy újabb SMS-ben kiküldte a bemért földrajzi koordinátákat a mobilra, méghozzá egy böngészőben megnyitható Google Térképek linkbe csomagolva.
Mindez jól hangzik, de Robert Xiao a weblap működését vizsgálva nagyon gyorsan rájött, hogy súlyos sérülékenység tátong a demó által használt adatkommunikációs programozási felületben.
A kihasználásával a weblap látogatói bármely az Egyesült Államokban lévő telefon földrajzi helyzetét bemérhették, méghozzá anélkül, hogy a megadott telefonszám tulajdonosa erről tudomást szerzett volna.
Nem világos, hogy a megdöbbentő sebezhetőség mióta volt jelen a vállalat demóeszközében, továbbá használta-e valaki mások utáni kémkedésre. Xiao bejelentésére a LocationSmart elsőként javította a hibát, majd röviddel később teljesen eltüntette a demóeszközt.
Frissítés: a Szövetségi Távközlési Bizottság (FCC) nyomozást indít az ügyben.
Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!