现实版天眼系统,一个漏洞让小白都能追踪上亿美国人实时定位

标签: 资讯 天眼 | 发表时间:2018-05-18 17:08 | 作者:Andy.i
出处:http://www.freebuf.com

《速度与激情7》中,天眼系统能够利用各种高科技追踪任何人的位置,这是美国人对于未来隐私的担忧。一家收集北美多达2亿手机用户的实时定位数据的公司,网站上出现了一个漏洞,任何人都可以在未经同意的情况下查看一个人的定位,并且使用门槛极低,堪称简化版天眼系统。

这家卷入隐私纠纷的公司与美国所有主要的无线运营商都有“直接联系”,包括AT&T、Verizon、T-Mobile和Sprint以及加拿大的蜂窝网络。

1.jpg

本周早些时候,外媒就报道了关于美国四大手机运营商,正在向一家你以前从未听说过的公司出售用户实时位置数据。

该公司名为LocationSmart,专门提供定位数据服务,声称有“直接联系”从附近的蜂窝塔中获取位置。该网站提供“先试再买”的服务,让用户可以测试其数据的准确性。外媒ZDnet测试之后发现,结果非常精准,能够直接定位一名同事所在的街区。

而这家公司客户要做的就是确保得到了手机号码主人的同意,LocationSmart表示也会主动发短信或者打电话告知对方。

对于LocationSmart如何获得数百万美国人的实时定位数据,如何获得手机用户所有者的同意,以及还有谁能够访问这些数据,人们却知之甚少。但该网站有一个漏洞,任何人都可以在未经他人允许的情况下悄悄跟踪某人的位置。

卡内基梅隆大学(Carnegie Mellon University)人机交互研究所(Human-Computer Interaction Institute)的博士Robert Xiao表示,该网站存在一个漏洞,用户可以直接跳过征求同意的部分直接查询特定号码的位置,这意味着LocationSmart从一开始可能就不需要征得同意,这里并没有安全监管。

由于先试再买的服务存在,LocationSmart相当于给任何人提供了免费服务,能够查询其他人的实时位置。而这个漏洞,很可能已经暴露了几乎所有美国和加拿大的手机用户,大约2亿人。

2.gif

研究人员Xiao 在发现这个问题之后,跟几个朋友一起来测试这个漏洞以及定位数据精准度。一个朋友开车环游夏威夷途中,在经过其同意之后,利用LocationSmart网站获取其定位信息,能够清晰地看到其位置路标在岛上移动。同时,在整个过程中没有任何人收到过短信或者电话被告知位置信息被获取。

看到这样的结果,的确让人不寒而栗,因为谁也不清楚此时此刻是否也有某个人或者某个组织在监控着你的实时定位。研究人员通过公共漏洞数据库向该公司透露这个BUG的细节之后,该网站的试用服务已经暂时被关闭。

而在美国,不仅仅是LocationSmart公司提供这样的服务。就在几天前,另一家电话追踪公司Securus遭黑客攻击,黑客至少拿到了包含有2800个登录名和加密密码的电子表格,而这家公司专门为警方提供实时电话追踪服务。

merlin_137969577_d61bacaa-2d17-4281-9d20-1be3506d5763-superJumbo.jpg

纽约时报不久前报道出这家公司,美国成千上万的监狱都在使用这家公司的服务,用来监控囚犯。密苏里州密西西比县前治安官在没有法院命令的情况下,利用Securus公司的服务追踪人们的手机,包括其他官员。面对非法监控的控诉,该治安官拒绝认罪。

在这些事件被媒体曝光之后,LocationSmart公司以及AT&T、Verizon、T-Mobile和Sprint等手机运营商均为对事件所设计的用户隐私问题做出正面回应。

美国参议员罗恩·怀登(RonWyden)发表了一份声明,呼吁运营商停止与第三方共享数据。他表示,这不仅对隐私,而且对每个美国家庭的经济和个人安全都是一种明显和现实的危险。因为他们把利润看得高于隐私和安全,运营商和LocationSmart 几乎让任何能够上网的人都能够像黑客通过手机追踪任何美国人的位置。

*参考来源: ZDnet,由Andy编译,转载请注明来自FreeBuf.COM

相关 [现实 天眼 系统] 推荐:

现实版天眼系统,一个漏洞让小白都能追踪上亿美国人实时定位

- - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
《速度与激情7》中,天眼系统能够利用各种高科技追踪任何人的位置,这是美国人对于未来隐私的担忧. 一家收集北美多达2亿手机用户的实时定位数据的公司,网站上出现了一个漏洞,任何人都可以在未经同意的情况下查看一个人的定位,并且使用门槛极低,堪称简化版天眼系统. 这家卷入隐私纠纷的公司与美国所有主要的无线运营商都有“直接联系”,包括AT&T、Verizon、T-Mobile和Sprint以及加拿大的蜂窝网络.

微软新推出增强现实系统:MirageTable

- - 译言-电脑/网络/数码科技
微软正在开发一个增强现实系统,使用户能够在不同的地点一起在桌面上共享和处理的对象. 在得克萨斯州奥斯汀举行的会议表明,MirageTable欺骗用户的眼睛,相信他们使用的是一个无缝的三维(3D)共享的工作空间. Mirage Table 使用Kinect 扫描物体,并3D投影到一个弯曲的白色幕布上.

壳系统

- Vernsu - It Talks-魏武挥的blog
经常有人被我问到“你用什么浏览器”时的答案是:傲游啦360啦,但事实上,这些都不是真正的浏览器,从技术角度讲,充其量只是在IE浏览器上加一个壳罢了. 在国外,壳浏览器是以“皮肤”的形式存在,纯属为了美化浏览器而用. 但在中国,壳浏览器成了一门生意. 奇虎的主要收入来源并非来自那个由于一场商战而赫赫有名的安全卫士,而是来自于360浏览器(它有两个版本,分别以IE和Chrome为内核).

秒杀系统

- - 开源软件 - ITeye博客
秒杀系统架构分析与实战. (反馈非常好的文章,推荐). (1)查询商品;(2)创建订单;(3)扣减库存;(4)更新订单;(5)付款;(6)卖家发货. (1)低廉价格;(2)大幅推广;(3)瞬时售空;(4)一般是定时上架;(5)时间短、瞬时并发量高;. 假设某网站秒杀活动只推出一件商品,预计会吸引1万人参加活动,也就说最大并发请求数是10000,秒杀系统需要面对的技术挑战有:.

Ext文件系统

- Haides - 博客园-首页原创精华区
  虽然从Ext2到Ext4,找数据的方式发生了变化,但是,磁盘的布局还是非常相似的. 其实这个东西也不需要变化,因为现在也没什么特别巧妙的方式,而且磁盘的吞吐量、效率的瓶颈也不在这里. 当然,这里排除那些根据自身文件特点设计的数据库,毕竟还是为了支持通用文件.   Boot在第一个块,放的应该是引导程序,超级块就放在了第二个块上,如果不是可以在mount的时候通过参数sb来设置.

HBase 系统架构

- - 博客园_首页
HBase是Apache Hadoop的数据库,能够对大型数据提供随机、实时的读写访问. HBase的目标是存储并处理大型的数据. HBase是一个开源的,分布式的,多版本的,面向列的存储模型. 5 可在廉价PC Server搭建大规模结构化存储集群. HBase是Google BigTable的开源实现,其相互对应如下:.

Linux系统监控

- - CSDN博客系统运维推荐文章
查看所有的进程和端口使用情况:. 查看nginx并发(连接数)进程数:. 查看当网络连接状态中,已建立连接的数量:. 查看系统tcp连接中各个状态的连接数. 输出每个ip的连接数,以及总的各个状态的连接数. df -hl 查看磁盘使用情况 . df -hl 查看磁盘剩余空间. df -h 查看每个根路径的分区大小.

mysql 权限系统

- - 数据库 - ITeye博客
mysql 权限系统控制一个用户是否能进行连接,以及连接后能够针对那些对象进行什么操作. mysql权限控制包含两个阶段. 2:检查用户是否具有所执行动作的权限. 本文实例,运行于 MySQL 5.0 及以上版本. MySQL 赋予用户权限命令的简单格式可概括为:. 一、grant 普通数据用户,查询、插入、更新、删除 数据库中所有表数据的权利.

银行核心系统-贷款系统【信贷系统】

- - ITeye博客
一、         贷款业务. 贷款按期限分为短期、中期与长期贷款,短期贷款是指期限在1年以内的贷款,中期贷款是指期限在1年(含1年)至3年(含3年)之间的贷款,长期贷款是指期限超过3年的贷款. 贷款的种类目前有个人助学贷款和个人住房贷款:. l     个人助学贷款:须提供两位担保人,无须质押物,贷款额度不超过人民币10万元.

这是现实

- Sosi - 牛博山寨 编辑推荐
在中國暗夜離開前必須看的影片. 全部电影(8) · 我没看过的(8). 2011-08-06 12:08:37添加 1. 窃听风暴 Das Leben der Anderen. 导演 : Florian Henckel von Donnersmarck. 主演 : Ulrich Mühe/Martina Gedeck/Sebastian Koch/Ulrich Tukur/Thomas Thieme.