LocationSmart網站漏洞可能洩露北美2億手機用戶位置

卡內基梅隆大學人機互動學院的研究人員Robert Xiao本周揭露LocationSmart網站服務的一個安全漏洞，駭客藉由此一名不見經傳的網站上可能取得美國與加拿大近2億名手機用戶的位置。

LocationSmart提供了手機位置追蹤服務，與美國的Verizon、AT&T、T-Mobile、Sprint與加拿大的Canadian carriers Bell、Rogers及Telus等電信業者合作，透過基地台三角定位取得精確度在數百呎內的行動手機用戶位置，再將這些資料出售給其它業者以協助定位或作為行銷之用。

Xiao強調，由於LocationSmart的資料來自於電信業者，因此不論用戶裝置的作業系統或隱私設定為何，LocationSmart都能取得裝置用戶的大概位置。

為了示範該平台的功能，LocationSmart提供了一個測試網頁，讓使用者輸入自己的手機號碼，並藉由簡訊或電話揭露使用者位置，然而，Xiao卻發現該測試網頁含有一漏洞，在未經由其它用戶的同意下取得其它手機用戶的位置。

Xiao是在5月16日發現該漏洞，且先知會了美國電腦網路危機處理中心（US-CERT），並在LocationSmart於隔天修補該漏洞之後才公布。