Una laguna en un servicio de rastreo de teléfonos celulares ha permitido a cualquiera rastrear ubicaciones de dispositivos sin autorización. Para eso, fue suficiente para aprovechar algunas de las aperturas que ofrece la herramienta.
La falla estaba presente en LocationSmart, como se conoce la plataforma, y fue descubierta por el profesor de informática Robert Xiao . Dijo que era posible rastrear la ubicación de los teléfonos celulares vinculados a AT&T, Sprint, T-Mobile y Verizon, los operadores más grandes de los Estados Unidos.
LocationSmart se vende a sí mismo como un servicio de ubicación de teléfonos inteligentes en tiempo real. Para convencer a los clientes potenciales, ofreció una demostración gratuita para que pueda encontrar su teléfono móvil ingresando solo el nombre, el correo electrónico y el teléfono en un formulario.
Luego, la herramienta enviaría un mensaje de texto pidiendo permiso para comunicarse con la torre celular más cercana. Con la autorización, el servicio pasó la longitud y latitud del teléfono, junto con una pantalla de Google Street View.
Sin embargo, según Xiao, LocationSmart no realizó verificaciones básicas para evitar búsquedas anónimas y no autorizadas. Por lo tanto, simples cambios en la API del servicio permitieron teléfonos móviles que no permitían que se encontrara permiso también.
La falla fue probada por Brian Krebs de Krebs on Security . Según él, las pruebas mostraron la ubicación aproximada de cinco personas. Con su permiso, Xiao pudo determinar dónde estaban. La precisión varió de 90 metros a 2.5 kilómetros.
Después de que se descubrió la brecha, la manifestación se retiró del aire. Según Mario Proietti, CEO de LocationSmart, el servicio se basa en el uso legítimo y autorizado de los datos de ubicación. «Nos tomamos en serio la privacidad y analizaremos e investigaremos todos los hechos», dijo.
Con información: Ars Technica .