据外媒报道,手机追踪公司LocationSmart是一家提供定位数据的公司,它在网站上向潜在客户展示了其如何实时追踪任何手机的位置。外媒ZDNet经过测试发现,结果非常准确,它精准地定位到了城市街区的位置。而这家公司客户要做的就是确保得到了电话号码主人的同意,LocationSmart表示他们会发短信或打电话通知对方。
但是,来自卡内基梅隆大学的研究员Robert Xiao却发现,LocationSmart的一个简单漏洞就能让其绕开这一要求并对任何手机展开无限制的追踪。
Xiao是卡内基梅隆大学人机交互研究员的一名博士生,他说他在LocationSmart网站用了15分钟时间就找到了漏洞。这个漏洞可以让当事人在不知情的情况下被追踪,而追踪者可以对上百万名美国人展开追踪并且还不需要花钱。
Xiao说道:“LocationSmart基本上是给任何人免费提供了服务。”
据了解,LocationSmart使用的地理数据来自美国主要无线运营商,包括T-Mobile、Verizon、AT&T以及Sprint。虽然无线运营商不允许向政府提供用户的地理数据但它们却可以将这些数据卖给其他企业。
Xiao首先在自己的手机上试了一下,然后他又试了朋友的。“我有个朋友开车到夏威夷附近,在征得他同意的情况下我看着他在岛上兜风。那个时候我很清楚,在我追踪他们的时候他们当中没有人收到过短信或接到过通知。”
在发现这一漏洞后,Xiao联系了美国计算机应急准备小组并告知他们该漏洞。另外他还把这件事情告诉了记者Brian Krebs,而后他最先将这一事件报道了出去。
现在,LocationSmart的演示页面已经下线,对此公司也未给出回应。