根據 PartnerRe資安分析師Andrea Palmieri在推特上的發文,有網路釣魚(Phishing)仿冒Netflix網頁來收集帳號資訊、信用卡資料和其他個人身份資訊(PII)。我們檢視了惡意網站hxxp://secure-up-log.com/netflix/來了解更多其運作資訊,且發現這些網站具備地理位置定位(geolocation)功能。
該網站偽造了Netflix的登入頁面。使用者輸入帳密(如電子郵件地址或電話號碼以及Netflix帳號密碼)後會被帶到另一頁面來要求使用者更新帳號資訊。我們發現該網站具備了偵測使用者位置的定位功能。因為網站會自動帶入”城市”、”州/省/地區”和”郵遞區號”資訊。網頁網址也帶有國家/地區的縮寫。
繼續閱讀
其實我們目前在日常生活中,一直帶在身上的「手機」都在默默追蹤我們的位置你知道嗎?
繼續閱讀無論是 Apple 或者是 Google 兩者的服務都會要求提供定位資訊,當然我們並不建議隨便調整定位資訊啦!要不然下次想要使用某個功能的時候就會發現突然不能使用了!
但大家依然要知道如何讓定位提供最少的資訊喔!這樣不但安全還省電呢!接下來讓好麻吉帶大家來看看吧!
安全研究人員發現並回報LocationSmart免費網路展示工具的API漏洞可能會讓手機洩露美國電信公司用戶的即時定位資訊。與此同時,另一家公司Securus Technologies也在早些時候據報遭受駭客入侵,竊取了全美執法人員2,800份憑證。該公司據報曾經使用LocationSmart的服務功能將行動網路用戶資料出售或洩露給密西西比警長辦公室。
[延伸閱讀:專家說:智慧手機定位追蹤能夠強化企業安全]
LocationSmart網站讓潛在客戶在網路上可以利用免費展示工具輸入自己的姓名、電子郵件地址和電話號碼來追踪行動設備的大致位置。會寄送一封簡訊到所提供電話號碼來取得權限ping最近的基地台以進行追蹤,在同意後會寄送簡訊給用戶提供Google地圖上的約略經緯度。
[延伸閱讀:身份竊盜和你的個人資料價值]
“與全世界運動愛好者交流”為定位的Strava 行動應運程式,號稱有數百萬名跑者與自行車手因為熱衷相同運動,而透過網路彼此交流聯繫。Strava 可以把iPhone 和 Android 手機變成跑步和騎車記錄系統,也能和 GPS 手錶和頭戴裝置搭配使用。這個號稱”全球最好的追蹤系統”,擁有強大的 GPS 定位技術,可記錄、分享用戶的運動路徑。 但由於 Strava 的地圖資訊過於詳盡,可能讓使用該 app 的軍人不小心讓軍事基地等敏感資訊曝光。
根據一份報告指出,2017 年 11 月健身記錄應用程式 Strava 公布了一份其用戶能呈現出用戶所走過路徑地圖的熱區圖,其中包含了 10 億筆活動記錄、3 兆個經緯度定位點、13 兆個點陣像素,以及 10 TB 的輸入資料。但這個健身記錄應用程式卻也可能意外洩漏美國機密軍事基地、巡防及前線作戰基地 (FOB) 的位置。
美軍基地「清晰可辨並可在地圖上找到」
美國聯合衝突分析機構 (Institute for United Conflict Analysts) 創始會員 Nathan Ruser 率先在 Twitter 上批露此訊息。他指出,Strava 的熱區圖讓美軍基地「清晰可辨並可在地圖上找到」。不僅如此,Ruser 更找到了一個敘利亞境內的 Khmeimim 俄羅斯基地、土耳其軍隊巡防點、阿富汗前線作戰基地,以及士兵跑步健身路徑。Ruser 在 Twitter 上指出,基地位置曝光還不是唯一的令人擔心的問題。其中的「生活模式」資訊,才是這份熱區圖可能帶來的嚴重風險,因為許多人都未將資訊設為隱私。
根據 Strava 表示,使用者可根據其需求來調整隱私設定。例如,可在活動當中增加私密區域來隱藏使用者在某些區域開始或結束的活動 (如在家或在辦公室),不讓其使用者看到。此外,還有一個選項可以關閉活動資料的匿名分享。
還可能擷取使用者姓名、檔案照片、心律資料等個資 繼續閱讀