安全研究人員發現並回報LocationSmart免費網路展示工具的API漏洞可能會讓手機洩露美國電信公司用戶的即時定位資訊。與此同時,另一家公司Securus Technologies也在早些時候據報遭受駭客入侵,竊取了全美執法人員2,800份憑證。該公司據報曾經使用LocationSmart的服務功能將行動網路用戶資料出售或洩露給密西西比警長辦公室。
[延伸閱讀:專家說:智慧手機定位追蹤能夠強化企業安全]
LocationSmart網站讓潛在客戶在網路上可以利用免費展示工具輸入自己的姓名、電子郵件地址和電話號碼來追踪行動設備的大致位置。會寄送一封簡訊到所提供電話號碼來取得權限ping最近的基地台以進行追蹤,在同意後會寄送簡訊給用戶提供Google地圖上的約略經緯度。
[延伸閱讀:身份竊盜和你的個人資料價值]
但卡內基美隆大學人機互動研究所的博士候選人Robert Xiao報告說,該服務沒有做到對匿名和未經授權請求的基本身份驗證。意味著只要有基本資料的任何使用者都可以輕易地搜尋手機號碼的目前位置而無需提供任何憑證。經過他的聯絡人同意,Xiao利用不安全API來進行測試,在幾分鐘內就能夠追蹤到他朋友的位置和路線。他的聯絡人也反應表示定位座標非常精確,在即時位置的一百碼到一英里多之內。
[延伸閱讀:你的個人資料價值多少?]
根據 LocationSmart的隱私政策,他們還儲存了其他資料,像是速度、方向和IP地址等等,好給行銷人員提供準確定位的促銷活動,物聯網資產報表以及追蹤在外活動的業務人員。雖然免費展示工具已經關閉,但對檔案的進一步研究顯示此功能可能在2011年中就以不同的公司名稱使用過。在一份聲明中,LocationSmart“確認該漏洞在5月16日前未被利用過,並且沒有客戶資料在未經許可下被取得。”Xiao將此漏洞回報給US-CERT,儘管電信商不允許提供定位資料給政府機構,但現行法律規定他們可以將這些資料出售給企業。各團體及國會成員都指出,鑑於此次事件和Securus Technologies的資料外洩事件,需要重新評估並制定更嚴格的隱私政策。
[延伸閱讀:隱私與安全:對美國,歐洲和日本消費者的研究]
關於行動應用程式的網路隱私防護,企業與個人該知道的兩件事
除了確保行動應用程式和服務功能正常運作外,企業還應該關注於保護客戶資料。同樣地,行動用戶也應該要關注自己在網路上分享的資訊。以下是一些防護網路隱私和安全的建議:
對於企業:
- 內部和外部進行資料查詢時要啟用額外的身份驗證。雖然額外的身份驗證並非萬無一失,但多一層防護總是比較好。
- 安裝修補程式和更新。企業應該要定期修補和更新所有系統,以消除或減少網路犯罪分子可以利用的漏洞。
對於個人:
- 貼文之前先想一想。網路犯罪分子可以輕易地瀏覽社群媒體來取得潛在受害者的資料。檢查你的隱私設定,替所有可識別的個人資料設定隱私。
- 檢查應用程式和軟體權限。不允許它們取得比所需更多資料的權限,並且僅從合法廠商下載應用程式。
無論你在哪裡, 趨勢科技行動安全防護都可以提供最新及全年無休的安全防護。隨著行動工作場所和員工的日益增加,如何在利用技術提高生產力的同時也能隨時隨地保護敏感資料變得越來越重要。企業可以兼顧兩者,還能取得網路能見度和控制力,簡化通訊和管理,無論你身處在何處。
@原文出處:LocationSmart Leaked Customers’ Location Data Without Consent, User Authentication