Un bug desvela la ubicación en tiempo real de millones de teléfonos

Un bug desvela la ubicación en tiempo real de millones de teléfonos

¡Qué peligro!

Compartir

Robert Xiao, un estudiante de informática de Carnegie Mellon, ha descubierto en las últimas horas un fallo que deja en evidencia a una página web y sus millones de usuarios.

Y es que esta vulnerabilidad encontrada en LocationSmart permite localizar en tiempo real millones de teléfonos, siempre y cuando sepas cómo hacerlo. Afortunadamente – para nosotros – solo ha afectado a Estados Unidos.

¿Qué es LocationSmart? Un servicio que permite ubicar a teléfonos en tiempo real, algo así como “Buscar mi iPhone”. Desde hace un tiempo, esta web tenía un periodo de prueba en la que simplemente tenías que introducir tu numero de teléfono, confirmar tu identidad vía SMS y desde ese momento podías ver dónde se encontraba tu teléfono en todo momento.

Según Xiao, el problema es un bug en la web que permitiría que cualquiera con los conocimientos suficientes se saltase la verificación del número y viera en tiempo real la situación del resto de clientes del servicio. Los detalles técnicos sobre el bug los explica Robert Xiao en su web.

Una vez hallada esta vulnerabilidad, Xiao alertó a las autoridades pertinentes y a Brian Krebs, que ha publicado la historia en su web, Krebs Security.

En palabras de Xiao, ha sido capaz de encontrar la longitud y latitud de 5 personas diferentes que se habían suscrito al servicio con una precisión asombrosa y en cuestión de segundos, y es que LocationSmart emplea los mapas de Google Street.

Descubrí esta vulnerabilidad casi por accidente y no ha sido nada difícil acceder. Es algo que cualquiera podría hacer con un mínimo esfuerzo y el resultado es que puedo trackear a mucha gente.

Se desconoce si esta vulnerabilidad existe desde que se lanzó el periodo de prueba gratis o si siempre ha sido vulnerable, pero según Krebs, data de al menos desde enero del año pasado.

El CEO de LocationSmart ha explicado para Macrumors:

Obtenemos los datos de forma legítima y para propósitos autorizados, nos tomamos la privacidad seriamente y analizaremos lo que está sucediendo.

Por el momento, LocationSmart ha retirado este servicio de prueba gratis y se desconoce si volverá o no, y si el problema se habrá subsanado, aunque imaginamos que la firma estará trabajando para solucionarlo cuanto antes. La FCC también se encuentra investigando el suceso.