В Web API, предоставляемом сервисом LocationSmart, выявлена уязвимость, которая позволяла любому постороннему отслеживать местоположение смартфонов, подключенных к большинству крупных мобильных сетей США, включая таких операторов как AT&T, Sprint, T-Mobile и Verizon, а также канадских операторов Bell, Rogers и Telus.

Данные о местоположении раскрывались с точностью определения базовой станции (от сотен метров до нескольких километров). Через периодическое обращение к API имелась возможность отслеживать перемещение смартфонов в режиме реального времени. Данные о местоположении поступали в сервис LocationSmart в рамках предполагаемых партнёрских контрактов с мобильными операторами (ни один оператор не опроверг и не подтвердил наличие контракта с LocationSmart). По приблизительно оценке проблема могла затронуть около 200 млн абонентов различных операторов связи.

Уязвимость всплыла после анализа демонстрационного сайта LocationSmart, через который пользователь мог бесплатно протестировать работу сервиса и определить местоположение своего устройства. Для доступа к сервису пользователю требовалось зарегистрироваться на сайте, введя своё имя, email и номер телефона, а затем подтвердить запрос через SMS или обратный звонок. Как оказалось, данная проверка является лишь формальностью и не охватывает доступ к Web API.

Любой желающий мог отправить запрос к Web API, указав произвольный номер телефона, и получить сведения о местоположении базовой станции, которая ближе всего находится к заданному устройству. При этом запросы могли отправляться анонимно и без указания параметров аутентификации. Используя выдаваемые координаты, исследователи смогли организовать отслеживания перемещения интересующих их телефонов и наглядно оценить перемещение абонента при помощи Google Maps. Точность определения координат телефона при тестировании абонентов различных операторов составила от 90 метров до 2.5 км.

В настоящее время демонстрационный сайт LocationSmart отключен, а большинство операторов уклонились от комментариев сотрудничества с сервисом. По словам директора LocationSmart компания серьёзно относится к конфиденциальности и сервис создавался исключительно для законных и разрешённых целей, а все факторы, способствовавшие возникновению инцидента будут подробно изучены.

Тем временем, LocationSmart всего неделю назад фигурировал в скандале с компанией Securus, связанном с предоставлением правоохранительным органам неконтролируемого доступа к данным о местоположении мобильных устройств (для определения местоположения использовался LocationSmart) с целью поиска украденных мобильных устройств. Деятельность Securus связана с обходом принятого в США закона "Electronic Communications Privacy Act", который запрещает операторам связи предоставление доступа к данным государственным структурам, но не регламентирует передачу данных другим компаниям, которые затем могут передавать те же самые сведения госслужбам, выступая в роли посредников.

Кроме того, на днях был зафиксирован взлом компании Securus, которая также занимается организацией связи в тюрьмах. В качестве подтверждения взлома были опубликованы учётные данные 2800 пользователей системы, включающие email, адреса, номера телефонов и MD5-хэши паролей. Это не первый взлом Securus, в 2015 году злоумышленники смогли получить доступ к архиву из 70 млн записанных звонков осужденных, в том числе их переговоров с адвокатами.