'Onveilige api gaf toegang tot locatie van mobiele gebruikers in VS'

Een onveilige api van de Amerikaanse trackingdienst LocationSmart gaf toegang tot de locatie van Amerikaanse mobiele klanten van alle grote providers, zo ontdekte een Amerikaanse onderzoeker die zijn bevindingen deelde met onderzoeksjournalist Brian Krebs.

Krebs schrijft dat hij deze week werd benaderd door de beveiligingsonderzoeker Robert Xiao, die erachter was gekomen dat LocationSmart een demo van zijn trackingdienst aanbood op zijn site. Bij normaal gebruik moesten daar de naam, het e-mailadres en het telefoonnummer ingevoerd worden om de locatie van een persoon te achterhalen. Die persoon kreeg vervolgens een sms waarin hij of zij toestemming kon geven. Xiao was erachter gekomen dat het niet moeilijk was om de achterliggende api te misbruiken om ook zonder deze toestemming de locatie van klanten van grote Amerikaanse providers te achterhalen. Het is onduidelijk of dan nog wel gegevens als naam en e-mailadres nodig waren.

De dienst is volgens Krebs inmiddels offline, maar voor dat gebeurde, was hij in staat tests uit te voeren met vijf van zijn contacten, die toestemming hadden gegeven dat Xiao hen zou opzoeken met de dienst. Dat lukte binnen enkele seconden, met uiteenlopende nauwkeurigheid tussen de 90 meter en de 2,4 kilometer. Een van de testpersonen bevond zich in Canada. Toen Krebs het bedrijf om een reactie vroeg, zei het alleen dat het een onderzoek zou instellen en dat het geen gebruikersgegevens prijsgeeft aan ongeautoriseerde gebruikers van zijn dienst. Volgens Krebs is het onduidelijk hoe lang de demosite in de lucht was. Providers Sprint, Verizon, AT&T en T-Mobile wilden niet ontkennen of bevestigen dat ze een overeenkomst hebben met LocationSmart, aldus Krebs.

Een advocaat van de Amerikaanse burgerrechtenorganisatie EFF zegt tegen Krebs dat er voor Amerikanen geen mogelijkheid is om gebruik te maken van een opt-out bij het volgen van hun locatie door providers. Zo zouden die wettelijk verplicht zijn om in bepaalde gevallen de locatie van hun klanten te kunnen vaststellen. Eerder deze week schreef ZDNet op basis van uitingen van LocationSmart zelf dat de dienst claimde van dezelfde technieken als nooddiensten gebruik te maken. Maar hoe het bedrijf precies aan de locatiegegevens komt, is niet geheel duidelijk. Volgens The New York Times maakte ook een ander bedrijf, Securus, gebruik van de LocationSmart-dienst. Door de aandacht die deze onthulling trok, was Xiao de dienst gaan onderzoeken.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 18-05-2018 19:0512

18-05-2018 • 19:05

12 Linkedin

Lees meer

'Google verzamelt locatiedata in Android en iOS ook al staat die functie uit' Nieuws van 13 augustus 2018
Grote Amerikaanse providers stoppen met verkoop locatiedata aan datahandelaren Nieuws van 20 juni 2018
Google test doorsturen locatie naar alarmcentrale na noodoproep Nieuws van 17 februari 2018
Google verzamelt locatie Android-gebruikers als locatieservices uit staan Nieuws van 21 november 2017
Onderzoekers presenteren aanval op 3g en 4g om locatie te achterhalen Nieuws van 27 juli 2017
Meer producten en artikelen
Privacy Provider Verenigde staten

Reacties (12)

-Moderatie-faq
12
11
10
1
0
0
Wijzig sortering
Armin
18 mei 2018 20:09
Hier ontbreekt wat informatie. Immers, hoe komt dit tracking bedrijf aan die gegevens. Immers, ik mag aannemen dat de mobiele providers die gegevens niet zomaar afgeven. Zeker omdat er email bij staat als iets dat vereist was (voordat dit lek gevonden was), en email geen noodzakelijke verplichting is bij het aangaan van een mobiel abbonement in de USA.

De vraag die nog Krebs nog Tweaers stelt is hoe LocationSmart aan die gegevens komt. De rest van de keten is verontrustend, maar anno 2018 mag niemand verbazen.

Dat providers wetenw aar ik ben is logisch en dat justitei etc het kan zien na een gerechterlijk bevel is ook logisch, maar waarom moet dat via een 3rd party bedrijf. En email hoort daar uberhaupt niet bij.
slaapkopje
@Armin18 mei 2018 20:57
Die informatie komt van providers die toegang geven tot het globale SS7 netwerk. Via een provider die het niet zo nauw neemt met de privacy kunnen ze op verschillende manieren locatie gegevens lospeuteren. Met verschillende SS7 queries naar de HLR van je provider is dan de locatie min of meer op te vragen. Dit antwoord kan gefilterd worden en vooral na de presentatie van Tobias Engel bij CCC Hamburg zijn de beschreven methodes wel gedicht, maar welke providers hebben lopen slapen weet ik niet.

https://berlin.ccc.de/~to...cate-track-manipulate.pdf
Armin
@slaapkopje18 mei 2018 23:24
Via een provider die het niet zo nauw neemt met de privacy kunnen ze op verschillende manieren locatie gegevens lospeuteren

Nee, het blijkt dus niet om SS7 te gaan, maar de rechtstreekse celltower locatiedata die een provider toch al heeft en zelfs moet hebben ivm o.a. E911.

Dus het is geen hack via SS7 of truc, maar bewuste vrijwillige overhandiging van de data, inclusief de mogelijkheid tot real time query. (Trouwens als het enkel SS7 was, was ook niet de naam beschikbaar maar enkel informatie op dat niveau.)

De vraag echter is of LocationSmart de contracten met de providers gebroken heeft.
fastedje
@slaapkopje20 mei 2018 19:17
Telefoon bedrijven laten echt niet zomaar derde partijen toe op hun SS7 netwerk. Wat ze wel doen is eventueel toegang geven naar de HLR via een goed beveiligde proxy.
kodak
@Armin18 mei 2018 20:31
De EFF geeft er gedeeltelijk al een verklaring voor. Je hebt als klant geen mogelijkheid op opt-in bij tracking omdat de locatie wettelijk beschikbaar zou moeten zijn.

Als er een plicht is dan zullen providers dat waarschijnlijk ook beschikbaar maken voor commerciële dienstverleners waar de organisaties die recht op de gegevens hebben via een centraal punt de gegevens kunnen in zien. In de USA, maar ook daarbuiten, worden de diensten die nodig zijn deels commercieel aangeboden. Dan hoeven hulpdiensten en overheid niet zelf tools te ontwikkelen en onderhouden.

Ik betwijfel of de stellling van de EFF betrekking heeft op dit soort commerciële dataontsluiting. Dat providers verplicht zijn om de locatiegegevens beschikbaar te stellen wil nog niet zeggen dat het is toegestaan om er als bedrijf een commercieel product omheen te bouwen die geheel van die gegevens afhankelijk is. Althans, waarschijnlijk in Europa.
Armin
@kodak18 mei 2018 21:27
Als er een plicht is dan zullen providers dat waarschijnlijk ook beschikbaar maken voor commerciële dienstverleners waar de organisaties die recht op de gegevens hebben via een centraal punt de gegevens kunnen in zien. In de USA, maar ook daarbuiten, worden de diensten die nodig zijn deels commercieel aangeboden. Dan hoeven hulpdiensten en overheid niet zelf tools te ontwikkelen en onderhouden.

Dit lijkt inderdaad de basis te zijn. Het idee is dat providers het aan LocationSmart geven met het doel om aan wettelijke eisen te voldoen. De providers zetten in hun contracten enkel dat LocationSmart en iedereen die via hen toegang heeft toestemming moet hebben, of van de gebruiker of via een juridische onderbouwing.

Er is echter geen audit, controle of sanctie op het breken van deze contractuele belofte. Ook zijn er geen technische waarborgen, dus indien - zoals hier - een hacker het lukt een query in het systeem te krijgen, gaat die gewoon naar de centrale systemen van de providers.

Omdat iedereen hier geld aan verdient, zal het ook wel niet veranderen vrees ik.
Auteurduqu
@Armin18 mei 2018 21:28
Dat is dus niet geheel duidelijk, ik voeg dat nog wel expliciet toe aan het artikel.
Anoniem: 428562
18 mei 2018 23:23
Handig om de locatie van een whatsapp of signal messenger gebruiker te achterhalen ...
Nokian95dude
19 mei 2018 14:39
Niet diegenen met VPN.
FvdM
@Nokian95dude19 mei 2018 15:18
Het gaat om het opzoeken van telefoonnummers. VPN is IP verkeer.
jDuke
@Nokian95dude19 mei 2018 19:51
VPN gaat niet werken als ik bij je provider ga opvragen met welke zendmasten je telefoon verbonden is, daar krijg ik keurig een antwoord van. In context met dit artikel: Er is een bedrijf dat (blijkbaar) diensten aanbiedt / afneemt bij de grote Amerikaanse providers; ze kunnen daar de gegevens dus ophalen.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee