Uma brecha em um serviço de rastreamento de celulares permitiu que qualquer um acompanhasse a localização de dispositivos sem precisar de autorização. Para isso, bastava aproveitar algumas aberturas oferecidas pela ferramenta.

A falha estava presente no LocationSmart, como a plataforma é conhecida, e foi descoberta pelo professor de ciência da computação, Robert Xiao. Segundo ele, foi possível rastrear a localização de celulares ligados a AT&T, Sprint, T-Mobile e Verizon, as maiores operadoras dos Estados Unidos.

O LocationSmart se vende como um serviço de localização em tempo real de smartphones. Para convencer potenciais clientes, ele oferecia uma demonstração gratuita para você encontrar seu celular inserindo apenas nome, e-mail e telefone em um formulário.

Em seguida, a ferramenta enviava uma menagem de texto pedindo permissão para se comunicar com a torre de celular mais próxima. Com a autorização, o serviço passava a longitude e a latitude do celular, junto com uma tela do Google Street View.

No entanto, de acordo com Xiao, o LocationSmart não realizava verificações básicas para impedir buscas anônimas e sem autorização. Assim, alterações simples na API do serviço permitiam que celulares que não deram a permissão também fossem localizados.

A falha foi comprovada por Brian Krebs, do Krebs on Security. Segundo ele, testes mostraram a localização aproximada de cinco pessoas. Com a autorização de cada uma, Xiao foi capaz de determinar onde elas estavam. A precisão variou de 90 metros a 2,5 quilômetros.

Depois da descoberta da brecha, a demonstração foi tirada do ar. Segundo Mario Proietti, CEO da LocationSmart, o serviço é baseado no uso legítimo e autorizado de dados de localização. “Levamos a privacidade a sério e analisaremos e investigaremos todos os fatos”, disse.

Com informações: Ars Technica.

Serviço vaza localização em tempo real de quase qualquer celular dos Estados Unidos