Баг локационного сервиса раскрыл данные миллионов американцев

Владимир Кузин avatar | 6
FavoriteLoading В закладки
Баг локационного сервиса раскрыл данные миллионов американцев

Один из студентов Университета Карнеги обнаружил опасную уязвимость в геолокационном сервисе LocationSmart. Роберту Хао удалось найти способ, позволяющий получить данные об актуальном местоположении миллионов американцев. Все, что для этого нужно — знать номер телефона.

Сервис LocationSmart позволяет узнать, где именно находится пользователь сотовой сети. Для получения информации необходимо ввести номер телефона. На смартфон придет одноразовый пароль для верификации. После чего можно просмотреть реальное местоположение на карте.

Хао выяснил, что официальная страница сервиса содержит критический баг. При отправке запроса в текстовом формате JSON, основанном на JavaScript, можно получить местоположение без указания SMS.

Получается, что любой может узнать, где конкретно находится абонент одного из американских операторов: Verizon, AT&T, Sprint, T-Mobile, попросту указав его номер телефона.

Информация об обнаруженной уязвимости уже была передана в Федеральную комиссию по связи.

Увы, всего одна ошибка разработчиков может стоить того, что любой сможет знать, где именно вы находитесь. И касается это практически любого сервиса. [MR]

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Проголосуйте первым за статью!)
🤓 Хочешь больше? Подпишись на наш Telegramнаш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
И понадобится лишь номер телефона.
Прокомментировать

🙈 Комментарии 6

  1. Aleksandr10rus avatar
    Aleksandr10rus19 мая 2018
    0

    Круто

  2. monarev avatar
    monarev19 мая 2018
    0

    прикрыли этот api, через который можно было осуществить доступ к данным.

    mlserg avatar
    mlserg19 мая 2018
    0

    @monarev, спасибо кэп)
    Я думал оставят для всех желающих (сарказм)

    monarev avatar
    monarev19 мая 2018
    0

    @mlserg, могли и оставить, быстро убрав уязвимость. Но предпочли полностью закрыть возможность получения данного продукта.

  3. TJames avatar
    TJames19 мая 2018
    0

    Может, формат все же json? )

    Владимир Кузин avatar
    0

    @TJames, он самый;) Мерси

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь