美国四大电信运营商均中招 网站漏洞会泄露手机用户位置

美国联邦通信委员会(FCC)周五表示，它将把有关一个网站漏洞可能让移动电话客户的位置被跟踪的报告，转交给执法部门去调查。

一位安全研究人员本周早些时候表示，加利福尼亚州一家技术公司LocationSmart的数据可能被用于追踪AT&T公司，Verizon Communications Inc，Sprint Corp和T-Mobile US移动消费者几百码范围的位置，并且未经他们的同意。

俄勒冈州民主党参议员罗恩·维登周五敦促FCC进行调查，并在Twitter上称，“黑客可以利用这个网站知道你什么时候在家，这​​样他们就会知道什么时候该抢劫。变态可能会跟踪你的孩子的手机，以便知道他们什么时候一个人。”

维登后来称赞FCC进行调查的决定，如路透社首次报道。

“我敦促FCC扩大调查范围，并更广泛地探讨第三方购买美国人实时位置数据的做法。”Wyden说。

卡内基梅隆大学研究员Robert Xiao表示，LocationSmart的演示工具存在缺陷，可能被用于追踪任何人。

LocationSmart女发言人Brenda Schafer周五表示，该漏洞“已得到解决，演示已被禁用。”

在Xiao的演示之前，其中包括定位到多达二十个用户，Schafer说，LocationSmart公司认为没有其他人利用该漏洞。

她表示，公司致力于“不断改进其信息隐私和安全措施”。

上周，纽约时报报道，密苏里州密西西比县的前警长使用Securus Technologies [CASHAL.UL]追踪包括其他警察在内的移动电话 —— 没有法院命令，后来对他提出了指控。

几篇发表的报道称，Securus通过LocationSmart的中介获取数据。

Verizon发言人Rich Young周五表示，公司已采取措施确保Securus不再能够访问有关Verizon Wireless客户的位置信息。他补充说，该公司已“发起了对整个问题的审查”。

AT&T发言人Mike Balmoris表示，未经客户同意或执法部门要求，公司不会“允许共享位置信息。如果我们得知供应商不遵守我们的政策，我们将采取适当的行动”。

Sprint表示正在对该问题进行内部审查。美国T-Mobile没有立即发表评论。

Securus周五晚些时候表示，鉴于与合作伙伴正在进行的讨论，基于位置的服务“数据目前已被禁用”，因为它非常谨慎。

Securus还表示，它与LocationSmart没有直接的业务关系，并表示愿意与执法机构和供应商一起尽快恢复服务。

上周，Wyden表示，惩教设施电话服务的主要提供商Securus正在从运营商那里购买实时位置信息，并“通过自助服务门户网站提供的信息，仅仅是在法律上等同于一个小承诺。”

Wyden撰写了美国所有四家主要移动运营商的报道，称这种做法“暴露了数百万美国人遭受政府可能的滥用和不受监督的监视”。

除了 Securus 外，还有许多私人公司会去购买实时位置数据。根据美国的电子通信隐私法，通信公司向政府披露数据受到限制，向其它公司披露数据却没有限制，而政府则可以通过公司间接获取数据。这也被认为是美国隐私法律的最大漏洞。

据悉LocationSmart 自称是全球最大的定位服务公司，可以从美国和加拿大所有主要电信商公司获得资讯，覆盖率高达 95%，可以非常快速的找到任何一支手机的位置。的确经实测在 15 秒内即可获得精确的位置传递，且正常状况下，仅会在缓存内待 2 分钟。但透过针对性的算法，即可任意利用这庞大的资料。