Один из студентов Университета Карнеги обнаружил опасную уязвимость в геолокационном сервисе LocationSmart. Роберту Хао удалось найти способ, позволяющий получить данные об актуальном местоположении миллионов американцев. Все, что для этого нужно — знать номер телефона.
Сервис LocationSmart позволяет узнать, где именно находится пользователь сотовой сети. Для получения информации необходимо ввести номер телефона. На смартфон придет одноразовый пароль для верификации. После чего можно просмотреть реальное местоположение на карте.
Хао выяснил, что официальная страница сервиса содержит критический баг. При отправке запроса в текстовом формате JSON, основанном на JavaScript, можно получить местоположение без указания SMS.
Получается, что любой может узнать, где конкретно находится абонент одного из американских операторов: Verizon, AT&T, Sprint, T-Mobile, попросту указав его номер телефона.
Информация об обнаруженной уязвимости уже была передана в Федеральную комиссию по связи.
Увы, всего одна ошибка разработчиков может стоить того, что любой сможет знать, где именно вы находитесь. И касается это практически любого сервиса. [MR]
6 комментариев