Bug em sistema de localização permitia rastrear celulares nos EUA

Uma grave falha de segurança foi descoberta no LocationSmart, um sistema de rastreamento de celulares que, em vez de funcionar como deveria, estava entregando a localização de clientes mobile dos EUA para qualquer um com um mínimo de conhecimento. Estariam na mira os usuários das maiores operadoras de telefonia do país, mesmo que jamais tenham utilizado o serviço.

O uso do LocationSmart é pago, sendo voltado, por exemplo, para o rastreamento de familiares ou uma possível localização de um celular perdido, apenas para citar alguns exemplos. Entretanto, uma ferramenta de demonstração disponível no site da empresa permite que qualquer um experimente a plataforma e foi a partir de uma exploração dela que a brecha apareceu.

Teoricamente, um celular somente pode ser rastreado mediante autorização – após o nome do usuário, e-mail e telefone ser inserido no sistema, um SMS é emitido ao aparelho com um link que, somente depois de acessado, libera a localização a partir da triangulação de redes celulares. Bastava trocar uma única linha do código-fonte da demonstração web, entretanto, para que essa necessidade de permissão não fosse mais necessária e as localizações fossem entregues a qualquer um.

De acordo com o que foi publicado pelo especialista em segurança Brian Krebs, a partir de um estudo escrito por Robert Xiao, pesquisador de segurança da informação da Universidade Carnegie Mellon, a brecha atinge usuários das principais operadoras de telefonia dos Estados Unidos, Verizon, AT&T, Sprint e T-Mobile. A precisão seria de poucos metros e, no caso de pedidos sucessivos, poderiam demonstrar também a movimentação, caso o rastreado esteja se locomovendo de alguma maneira – um dado que poderia permitir o rastreamento de rotinas ou, simplesmente, saber se uma casa está vazia para fins criminosos, por exemplo.

O caso ainda pode estar conectado a um escândalo de espionagem ainda maior, publicado na última semana. A informação é de que a Securus, empresa que fornece um sistema de monitoramento voltado para prisões, com direito a gravação de ligações e rastreamento de presos em tempo real, também permitia que qualquer telefone celular fosse localizado. Seria uma forma de permitir investigações sobre contrabando ou tráfico de drogas nas penitenciarias, mas que, claro, também poderia ser utilizada indevidamente.

As informações preliminares indicavam que entre as fornecedoras da tecnologia estaria, justamente, a LocationSmart. O caso foi detonado depois que um oficial utilizou os serviços de rastreamento sem autorização, acabando por ser alvo de um inquérito. Na ocasião, entretanto, ainda se sustentava a alegação oficial da empresa de que seus sistemas só poderiam ser acessados mediante autorização, algo que, agora, caiu por terra.

Com a descoberta publicada por Krebs, a LocationSmart se pronunciou oficialmente afirmando que a demonstração já foi retirada do ar, enquanto a brecha citada também foi resolvida na versão paga do serviço. A empresa afirmou levar a privacidade dos americanos a sério e que deseja trabalhar ativamente para se tornar cada vez mais segura e confiável.

Apesar de confirmar a existência da brecha, a companhia nega que ela tenha sido utilizada indevidamente. Segundo a LocationSmart, a abertura não foi acessada antes do dia 16 de maio, data em que Xiao realizou os testes revelados em seu estudo, e não resultou em nenhum vazamento de informações confidenciais, uma vez que todos os números testados pelo especialista foram autorizados por seus respectivos donos antes da utilização.

Das maiores operadoras dos Estados Unidos, apenas a T-Mobile se pronunciou sobre o caso de forma mais detalhada, afirmando ter bloqueado todos os acessos possíveis às plataformas da Securus e LocationSmart, de forma a garantir a proteção de seus clientes. Todas, porém, negaram qualquer associação às empresas, afirmando que as localizações de seus usuários não podem ser compartilhadas com terceiros sem a devida autorização.

O caso, agora, segue para esferas superiores. Com o escândalo da Securus e, agora, da LocationSmart, o senador democrata Ron Wyden exibiu preocupação e taxou o caso como um “perigo claro e presente”, fruto de uma falta de preocupação das empresas com a segurança dos americanos. O político disse que deve analisar o caso com mais profundidade, mas não revelou se inquéritos oficiais devem ser iniciados pelo governo.

Fonte:  Ars Technica