携帯電話の追跡サービスを手がけるLocationSmartの追跡機能は、セキュリティやプライバシーの面でスマートではなかったようだ。
米ZDNetは、LocationSmartが米国の大手移動体通信事業者に「直接接続」することによって位置情報データを取得していたとしている。LocationSmartは、潜在顧客向けに任意の携帯電話の位置情報をリアルタイムで追跡する無料のデモをウェブサイトで公開している。
米ZDNetがテストしてみたところ、結果はきわめて正確で、市街地のブロックレベルの精度で位置情報を特定できた。
無料のトライアルでは、携帯電話番号の所有者から同意を得るだけでよかった。LocationSmartの説明では、同社から携帯電話番号の持ち主にテキストメッセージを送信するか電話をかけるということだった。しかし、LocationSmartサイトに単純なバグがあり、そのためにカーネギーメロン大学の研究者はこのプロセスを回避して、あらゆるスマートフォンを無制限に追跡できた。
提供:LocationSmart
カーネギーメロン大学のHuman-Computer Interaction Instituteで博士課程に在籍するRobert Xiao氏は、LocationSmartのウェブサイトを見つけてからわずかな時間でバグを発見したという。同氏はその時までに、LocationSmartのサイトには不具合があり、ウェブサイトについて「初歩的」な知識がある人なら誰もが、ネット上の膨大な数の人を相手に知られることなく費用もかけずに追跡できると確信するに至った。
LocationSmartは、T-MobileやVerizon、AT&T、Sprintといった米国の大手移動体通信事業者からジオロケーションデータを購入して利用している。通信事業者は位置情報データを政府に提供することは許可されていないが、そうしたデータを他の企業に提供することは可能だという。
The New York Timesは先ごろ、受刑者の通話追跡などに利用されているSecurus Technologiesが同様の技術を利用して、米国のあらゆる人の携帯電話を数秒以内に発見できるようにしていたと報じた。Xiao氏はLocationSmartのバグについて、こうしたツールを万人に開放したようなものだと述べている。
LocationSmartのウェブサイトではユーザーが必要な同意を得たことを適切に検証していなかったため、Xiao氏は同サイトの裏をかいた。同氏はただ、自分の要求に対してウェブサイトが異なるフォーマットを返すようにするだけでよかったという。
同氏はこの問題を発見した後、US-CERTに報告し、この脆弱性の公開を促した。またジャーナリストのBrian Krebs氏にも連絡した。Krebs氏は、この問題について最初に報じている。
LocationSmartのデモページはオフラインになっている。また、同社にコメントを求めたが、返答は得られていない。
民主党議員のRon Wyden氏は先週、米連邦通信委員会(FCC)や大手通信事業者に位置情報データの乱用について調査するよう求めていた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。