Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Onveilige api gaf toegang tot locatie van mobiele gebruikers in VS'

Een onveilige api van de Amerikaanse trackingdienst LocationSmart gaf toegang tot de locatie van Amerikaanse mobiele klanten van alle grote providers, zo ontdekte een Amerikaanse onderzoeker die zijn bevindingen deelde met onderzoeksjournalist Brian Krebs.

Krebs schrijft dat hij deze week werd benaderd door de beveiligingsonderzoeker Robert Xiao, die erachter was gekomen dat LocationSmart een demo van zijn trackingdienst aanbood op zijn site. Bij normaal gebruik moesten daar de naam, het e-mailadres en het telefoonnummer ingevoerd worden om de locatie van een persoon te achterhalen. Die persoon kreeg vervolgens een sms waarin hij of zij toestemming kon geven. Xiao was erachter gekomen dat het niet moeilijk was om de achterliggende api te misbruiken om ook zonder deze toestemming de locatie van klanten van grote Amerikaanse providers te achterhalen. Het is onduidelijk of dan nog wel gegevens als naam en e-mailadres nodig waren.

De dienst is volgens Krebs inmiddels offline, maar voor dat gebeurde, was hij in staat tests uit te voeren met vijf van zijn contacten, die toestemming hadden gegeven dat Xiao hen zou opzoeken met de dienst. Dat lukte binnen enkele seconden, met uiteenlopende nauwkeurigheid tussen de 90 meter en de 2,4 kilometer. Een van de testpersonen bevond zich in Canada. Toen Krebs het bedrijf om een reactie vroeg, zei het alleen dat het een onderzoek zou instellen en dat het geen gebruikersgegevens prijsgeeft aan ongeautoriseerde gebruikers van zijn dienst. Volgens Krebs is het onduidelijk hoe lang de demosite in de lucht was. Providers Sprint, Verizon, AT&T en T-Mobile wilden niet ontkennen of bevestigen dat ze een overeenkomst hebben met LocationSmart, aldus Krebs.

Een advocaat van de Amerikaanse burgerrechtenorganisatie EFF zegt tegen Krebs dat er voor Amerikanen geen mogelijkheid is om gebruik te maken van een opt-out bij het volgen van hun locatie door providers. Zo zouden die wettelijk verplicht zijn om in bepaalde gevallen de locatie van hun klanten te kunnen vaststellen. Eerder deze week schreef ZDNet op basis van uitingen van LocationSmart zelf dat de dienst claimde van dezelfde technieken als nooddiensten gebruik te maken. Maar hoe het bedrijf precies aan de locatiegegevens komt, is niet geheel duidelijk. Volgens The New York Times maakte ook een ander bedrijf, Securus, gebruik van de LocationSmart-dienst. Door de aandacht die deze onthulling trok, was Xiao de dienst gaan onderzoeken.

Door

Nieuwsredacteur

12 Linkedin Google+

Reacties (12)

Wijzig sortering
Hier ontbreekt wat informatie. Immers, hoe komt dit tracking bedrijf aan die gegevens. Immers, ik mag aannemen dat de mobiele providers die gegevens niet zomaar afgeven. Zeker omdat er email bij staat als iets dat vereist was (voordat dit lek gevonden was), en email geen noodzakelijke verplichting is bij het aangaan van een mobiel abbonement in de USA.

De vraag die nog Krebs nog Tweaers stelt is hoe LocationSmart aan die gegevens komt. De rest van de keten is verontrustend, maar anno 2018 mag niemand verbazen.

Dat providers wetenw aar ik ben is logisch en dat justitei etc het kan zien na een gerechterlijk bevel is ook logisch, maar waarom moet dat via een 3rd party bedrijf. En email hoort daar uberhaupt niet bij.
Die informatie komt van providers die toegang geven tot het globale SS7 netwerk. Via een provider die het niet zo nauw neemt met de privacy kunnen ze op verschillende manieren locatie gegevens lospeuteren. Met verschillende SS7 queries naar de HLR van je provider is dan de locatie min of meer op te vragen. Dit antwoord kan gefilterd worden en vooral na de presentatie van Tobias Engel bij CCC Hamburg zijn de beschreven methodes wel gedicht, maar welke providers hebben lopen slapen weet ik niet.

https://berlin.ccc.de/~to...cate-track-manipulate.pdf
Via een provider die het niet zo nauw neemt met de privacy kunnen ze op verschillende manieren locatie gegevens lospeuteren

Nee, het blijkt dus niet om SS7 te gaan, maar de rechtstreekse celltower locatiedata die een provider toch al heeft en zelfs moet hebben ivm o.a. E911.

Dus het is geen hack via SS7 of truc, maar bewuste vrijwillige overhandiging van de data, inclusief de mogelijkheid tot real time query. (Trouwens als het enkel SS7 was, was ook niet de naam beschikbaar maar enkel informatie op dat niveau.)

De vraag echter is of LocationSmart de contracten met de providers gebroken heeft.
Telefoon bedrijven laten echt niet zomaar derde partijen toe op hun SS7 netwerk. Wat ze wel doen is eventueel toegang geven naar de HLR via een goed beveiligde proxy.
De EFF geeft er gedeeltelijk al een verklaring voor. Je hebt als klant geen mogelijkheid op opt-in bij tracking omdat de locatie wettelijk beschikbaar zou moeten zijn.

Als er een plicht is dan zullen providers dat waarschijnlijk ook beschikbaar maken voor commerciŽle dienstverleners waar de organisaties die recht op de gegevens hebben via een centraal punt de gegevens kunnen in zien. In de USA, maar ook daarbuiten, worden de diensten die nodig zijn deels commercieel aangeboden. Dan hoeven hulpdiensten en overheid niet zelf tools te ontwikkelen en onderhouden.

Ik betwijfel of de stellling van de EFF betrekking heeft op dit soort commerciŽle dataontsluiting. Dat providers verplicht zijn om de locatiegegevens beschikbaar te stellen wil nog niet zeggen dat het is toegestaan om er als bedrijf een commercieel product omheen te bouwen die geheel van die gegevens afhankelijk is. Althans, waarschijnlijk in Europa.
Als er een plicht is dan zullen providers dat waarschijnlijk ook beschikbaar maken voor commerciŽle dienstverleners waar de organisaties die recht op de gegevens hebben via een centraal punt de gegevens kunnen in zien. In de USA, maar ook daarbuiten, worden de diensten die nodig zijn deels commercieel aangeboden. Dan hoeven hulpdiensten en overheid niet zelf tools te ontwikkelen en onderhouden.

Dit lijkt inderdaad de basis te zijn. Het idee is dat providers het aan LocationSmart geven met het doel om aan wettelijke eisen te voldoen. De providers zetten in hun contracten enkel dat LocationSmart en iedereen die via hen toegang heeft toestemming moet hebben, of van de gebruiker of via een juridische onderbouwing.

Er is echter geen audit, controle of sanctie op het breken van deze contractuele belofte. Ook zijn er geen technische waarborgen, dus indien - zoals hier - een hacker het lukt een query in het systeem te krijgen, gaat die gewoon naar de centrale systemen van de providers.

Omdat iedereen hier geld aan verdient, zal het ook wel niet veranderen vrees ik.
Dat is dus niet geheel duidelijk, ik voeg dat nog wel expliciet toe aan het artikel.
Handig om de locatie van een whatsapp of signal messenger gebruiker te achterhalen ...
Niet diegenen met VPN.
Het gaat om het opzoeken van telefoonnummers. VPN is IP verkeer.
VPN gaat niet werken als ik bij je provider ga opvragen met welke zendmasten je telefoon verbonden is, daar krijg ik keurig een antwoord van. In context met dit artikel: Er is een bedrijf dat (blijkbaar) diensten aanbiedt / afneemt bij de grote Amerikaanse providers; ze kunnen daar de gegevens dus ophalen.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*