流行的手机追踪应用 iSharing 中的安全漏洞暴露了用户的精确位置

上周当 一位安全研究人员表示，他可以轻松地从广泛使用的手机跟踪应用程序的数百万用户中的任何一个获得精确位置，我们必须亲自查看。

温哥华不列颠哥伦比亚大学计算机科学和经济学专业的学生 Eric Daigle 在对位置跟踪应用程序安全性进行调查的过程中发现了跟踪应用程序 iSharing 中的漏洞。 iSharing 是最受欢迎的位置跟踪应用程序之一，迄今为止拥有超过 3500 万用户。

戴格尔表示，这些错误允许任何使用该应用程序的人访问其他人的坐标，即使用户没有主动与其他人共享他们的位置数据。 这些错误还暴露了用户的姓名、个人资料照片以及用于登录该应用程序的电子邮件地址和电话号码。

这些错误意味着 iSharing 的服务器无法正确检查应用程序用户是否只能访问他们的位置数据或与他们共享的其他人的位置数据。

位置跟踪应用程序（包括隐秘的“跟踪软件”应用程序）历史上曾发生过安全事故，存在泄露或暴露用户精确位置的风险。

在这种情况下，戴格尔只花了几秒钟就找到了这位记者的位置，距离只有几英尺。 使用安装了 iSharing 应用程序和新用户帐户的 Android 手机，我们询问研究人员是否可以利用这些错误获取我们的精确位置。

“曼哈顿百老汇 770 号？” 戴格尔做出了回应，并提供了 > 纽约办公室的精确坐标，手机从那里可以查出其位置。

Daigle 大约两周前与 iSharing 分享了该漏洞的详细信息，但没有收到任何回复。 就在那时，戴格尔请求 > 帮助联系应用程序制造商。 iSharing 在 4 月 20 日至 21 日的周末或之后不久修复了这些错误。

iSharing 联合创始人 Yongjae Chuh 在一封电子邮件中告诉 >：“我们感谢研究人员发现了这个问题，这样我们就可以提前解决这个问题。” “我们的团队目前正计划与安全专业人员合作，添加任何必要的安全措施，以确保每个用户的数据都受到保护。”

iSharing 将该漏洞归咎于其称为群组的功能，该功能允许用户与其他用户共享其位置。 Chuh 告诉 >，该公司的日志显示没有证据表明这些错误是在 Daigle 发现之前发现的。 Chuh 承认“我们方面可能存在疏忽”，因为其服务器无法检查用户是否被允许加入其他用户的群组。

> 保留了这篇报道的发布，直到 Daigle 确认修复为止。

Daigle 告诉 >：“从打开应用程序、弄清楚请求的形式，到看到在另一个用户上创建一个群组并加入该群组有效，找到最初的缺陷总共可能需要一个小时左右的时间。”

从那时起，他又花了几个小时构建概念验证脚本来演示安全漏洞。

Daigle，描述了这些漏洞 在他的博客上有更多详细信息，说他计划继续在跟踪软件和位置跟踪领域进行研究。

阅读 > 上的更多内容：

如需联系本报记者，请通过 Signal 和 WhatsApp 联系 +1 646-755-8849，或通过电子邮件联系。 您还可以通过 SecureDrop 发送文件和文档。