55
LocationSmartが顧客のリアルタイム位置情報を漏洩

LocationSmartは、米国およびカナダの主要通信事業者すべてと契約を結んでいる位置追跡サービス企業です。携帯電話基地局の三角測量に基づいて取得した位置情報を、民間企業および法執行機関と共有しているようです。同社のサービスは、ハッカーと法執行機関の両方によって悪用される可能性があることが広く知られるようになり、最近物議を醸しています。

通信事業者はあなたの位置情報を他社と共有しています

この話はLocationSmartをめぐって展開されていますが、真の問題は、通信事業者がユーザーのリアルタイム位置情報を、それを求めるほぼすべての相手と共有しているということです。LocationSmartは、最近メディアの注目を集めている有力なクライアントの一つです。

今月末に施行される一般データ保護規則(GDPR)では、このような情報共有は認められません。また、エド・マーキー上院議員が提出した「同意法」は「エッジプロバイダー」を特に対象としているため、この種の慣行に終止符を打つかどうかは不明です。

Web サービスである LocationSmart は、このカテゴリに該当する可能性がありますが、一方で、法律が明確でない限り、同社はネットワーク レベルでキャリア データと連携していると主張することもできるため、現在の同意法の規定では、同社もその適用除外となる可能性があります。

LocationSmartのデータ漏洩

カーネギーメロン大学のセキュリティ研究者ロバート・シャオ氏は5月16日、LocationSmartのサービスに脆弱性があることを確認した。このバグは、同社が潜在的な企業顧客向けにテストAPIを提供し、携帯電話基地局データに基づいて誰かの位置を概算する方法を示していたことに起因している。

しかし、シャオ氏、そして後にブライアン・クレブス氏は、誰でもこのサービスを悪用すれば、ほぼすべての米国の携帯電話の位置を特定できることを発見しました。シャオ氏によると、このバグは匿名や不正な問い合わせを防ぐための基本的なチェックが不十分だったため、悪用には数分しかかかりませんでした。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

シャオ氏はクレブスにこう語った。

ほとんど偶然にこれを見つけたのですが、やってみるのはそれほど難しくありませんでした。誰でも最小限の労力で発見できるものです。要するに、ほとんどの人の携帯電話を本人の同意なしに追跡できるということです。

LocationSmartとSecurus Technologies

先週、ニューヨーク・タイムズ紙は、別の位置追跡サービスであるセキュラス・テクノロジーズに関する記事を掲載した。同社は裁判所命令や令状なしに、法執行機関に誰の位置情報にもアクセスできるようにしていた。

今週初め、SecurusがLocationSmartのデータを使用しているという新たな報道があ​​りました。そのわずか翌日、ハッカーがLocationSmartのサーバーに侵入し、Securusの正規ユーザーのユーザー名、メールアドレス、電話番号、ハッシュ化されたパスワード2,800件を盗み出しました。盗まれた認証情報のほとんどは法執行機関のものでした。数時間前、Xiao氏はLocationSmartのサービスで発見したバグについて、US CERTとKrebs氏に連絡を取っていました。

オプトアウトはできません

LocationSmart サービスはキャリアベースであるため、携帯電話のオペレーティング システムやプライバシー設定は関係なく、サービスをオプトアウトすることもできません。

EFFの弁護士ステファニー・ラカンブラ氏は次のように述べた。

まさにこれが、位置情報に関する強力なプライバシー保護を求めて私たちが懸命にロビー活動を行ってきた理由です。本来であれば、法執行機関がこうした情報を利用するには令状を取得する必要があるというルールにすべきであり、まさにそれが私たちが推進してきたルールなのです。

ワイデン上院議員は次のように付け加えた。

位置情報集約業界は、連邦通信委員会(FCC)による監督を事実上受けずに運営されてきました。唯一の真の驚きは、携帯電話事業者とそのビジネスパートナーがアメリカ国民のプライバシーと安全をこれほどまでに無視していたことが、一般の人々に知られるまでにこれほど長い時間がかかったことです。FCCがLocationSmartによるデータ漏洩の調査を開始したことを嬉しく思います。携帯電話事業者と仲介業者によるアメリカ国民のセキュリティとプライバシーに対する軽視は、すべてのアメリカ国民を危険にさらしています。FCCには、この調査の範囲を拡大し、第三者がアメリカ国民のリアルタイム位置情報を購入する行為をより広範に調査するよう強く求めます。

シャオ氏はまた、通信事業者が顧客のリアルタイムの位置情報への直接アクセスを第三者に提供し続けている限り、ロケーションスマート社やセキュラス社で起きているような、ワイヤレス顧客の位置情報の漏洩が今後さらに増えることは避けられないと警告した。

ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。

Ecosystem
Posted by Lorlink