اخیراً یک دانشجوی رشته کامپیوتر، توانسته یک حفره امنیتی مهم را در تلفنهای هوشمند پیدا کند.
Robert Xiao دانشجوی دانشگاه Robert Xiao واقع در پنسیلوانیا این آسیب پذیری را کشف کرده است که طی آن اطلاعات مربوط به موقعیت مکانی میلیونها تلفن هوشمند بهصورت در لحظه فاش میشود.
این آسیب پذیری مربوط به وب سایت LocationSmart میشود. این وب سایت تا پیش از این نیز اعلام کرده بود که دادههای مربوط به موقعیت مکانی کاربران را از اپراتورهای مهم تلفن همراه در آمریکا، نظیر Verizon، AT&T، Sprint و T-Mobile جمع آوری میکند و سپس این اطلاعات را به شرکتهای مختلف میفروشد. مشتریان این اطلاعات شامل شرکتهای امنیت سایبری، کمپانیها بازاریابی، تبلیغاتی و خدماتی هستند.
LocationSmart یک شرکت فعال در زمینه توسعه و عرضه API های مناسب برای دستگاههای همراه است که توسعه دهندگان مختلف از طریق سرویسهای این شرکت میتوانند قابلیتهای مختلفی را به اپلیکیشنهای خود بیاورند. همین مسئله باعث شده تا بسیاری از توسعه دهندگان اپلیکیشنها از سرویسهای LocationSmart استفاده کنند تا بتوانند موقعیت مکانی کاربران را تشخیص دهند.
اما حالا مشخص شده است که LocationSmart علاوه بر فروش API های اختصاصی به توسعه دهندگان، اطلاعات کاربران و میلیونها تلفن هوشمند اندرویدی و مبتنی بر آی او اس را به شرکتهای دیگر میفروشد به صراحتاً اقدام به نقض حریم خصوصی کاربران میکند.
Xiao همچنین کشف کرده که یک حفره امنیتی در سرویسهای ارائه شده توسط این کمپانی به توسعه دهندگان حرفهای اجازه میدهد تا با دور زدن فرایند تائید کاربر، به اطلاعات تلفن هوشمند آنها دسترسی داشته باشند. وی در ادامه توضیح داده است که این حفره امنیتی، بهصورت مستقیم با دادههای ذخیره شده در یک فایل JSON ارتباط دارد. دادههای مربوط به موقعیت مکانی کاربر به جای اینکه در فایل XML ذخیره شوند، در فایل JSON ذخیره میشوند.
هنوز بسیاری از شرکتها و اپراتورهای تلفن همراه در مورد این مسئله به طور کامل توضیح ندادهاند با این حال، AT&T و شرکت LocationSmart اظهاراتی کوتاه در مورد اقدام به رفع این مشکل کردهاند.