Ortung per Mobilfunk Schwachstelle verriet Aufenthaltsorte von Millionen US-Handynutzern

Ein IT-Forscher hat in der Website eines Anbieters von Mobilfunk-Ortungsdaten eine gefährliche Sicherheitslücke entdeckt. Kurzzeitig hatte er darüber Zugriff auf die Aufenthaltsorte fast aller Handynutzer in den USA.

Smartphones
Getty Images

Smartphones

Von


Am 16. Mai entdeckte der Computer-Wissenschaftler Robert Xiao auf der Website des Ortungsdaten-Anbieters LocationSmart eine gravierende Sicherheitslücke. Der Softwarefehler erlaubte es ihm, zu fast jeder Handynummer in den USA den aktuellen Standort des jeweiligen Handys oder Smartphones abzurufen. Er musste dazu weder ein Passwort eingeben, noch eine Sicherheitsabfrage beantworten.

Die Schwachstelle lag in einer Testanwendung auf der Webseite des Anbieters. Potenzielle Kunden sollten dort ihre eigene Position ermitteln können, wenn sie ihren Namen samt E-Mail-Adresse und Mobilfunknummer eingaben. Per SMS oder Sprachanruf musste man dabei zunächst bestätigen, dass LocationSmart auf die Standortdaten des ausgewählten Mobiltelefons zugreifen darf, um dem Testkunden einen Google-Maps-Link mit dem Standort zu übermitteln.

In einem Blogeintrag von Donnerstag erklärt Xiao nun aber, wie er die Demo-Anwendung so manipulieren konnte, dass sie auch ohne Zustimmung der jeweiligen Nutzer die Ortsdaten beliebiger US-Mobiltelefone lieferte.

"Nicht besonders schwierig"

Dem IT-Sicherheits-Blog "KrebsOnSecurity" sagte der Wissenschaftler: "Ich bin fast zufällig darüber gestolpert und es war nicht besonders schwierig." Laut Xiao hätte das mit minimalem Aufwand jedermann herausfinden können. Nachdem der Forscher das Unternehmen auf den Fehler aufmerksam gemacht hatte, reagierte die Firma mit einem drastischen Schritt und entfernte die Demoversion von ihrer Webseite.

Wie lange der Service online war und ob die Sicherheitslücke womöglich bereits von jemandem ausgenutzt worden ist, bleibt unklar. Gegenüber "KrebsOnSecurity" sagte LocationSmart-Geschäftsführer Mario Proietti, dass man die Privatsphäre der Nutzer sehr ernst nehme und der Sache nachgehe.

Mobilfunkdaten von AT&T, Verizon und T-Mobile

Die Vermarktung der Ortungsdaten von Mobiltelefonen gehört zum Geschäftsmodell von LocationSmart. Dafür nutzt das Unternehmen laut Xiao Mobilfunkdaten von Telekommunikationsanbietern wie AT&T, Verizon und T-Mobile. Die Handyortung erfolgt unter anderem über sogenannte Triangulation. Dabei wird der Abstand des Mobiltelefons von mehreren Telefonmasten gemessen, um dessen ungefähren Aufenthaltsort zu bestimmten.

LocationSmart nutzt die so gewonnenen Ortungsinformationen, um Werbung auf Smartphones auszuspielen, wenn diese sich etwa in der Nähe eines bestimmten Restaurants oder Geschäfts befinden. Auch Logistikunternehmen greifen auf solche Daten zurück, um Lieferungen nachzuverfolgen und Waren in Lagerhäusern zu überwachen.

Sicherheitsrisiko Drittanbieter

Nur wenige Tage bevor Robert Xiao seine Erkenntnisse veröffentlicht hatte, war bereits mehrfach über das kalifornische Unternehmen berichtet worden. Denn zum Geschäftsmodell von LocationSmart gehört es, Daten an Drittanbieter weiterzuverkaufen. Auf die Mobilfunk-Ortungsdaten greift beispielsweise das Unternehmen Securus zu. Das vermittelt und überwacht die Telefonate von Häftlingen in vielen US-Gefängnissen und bietet Polizeibehörden die Ortung der Mobiltelefone von Flüchtigen und Vermissten an.

Vergangene Woche berichtete die "New York Times" nun über einen Sheriff im US-Bundesstaat Mississippi, der den auf den LocationSmart-Daten basierenden Ortungsdienst von Securus unerlaubt genutzt haben soll. Ihm wird vorgeworfen, das System zwischen 2014 und 2017 mindestens elf Mal unrechtmäßig genutzt zu haben, um die Aufenthaltsorte verschiedener Personen zu ermitteln. Unter anderem habe er einen Richter und mehrere seiner Kollegen überwacht, heißt es in der Anklage.

Dass es bei Securus offenbar nicht zum Besten um den Datenschutz steht, zeigt auch, dass es laut "Vice Motherboard" einem Hacker gelungen ist, Tausende Nutzernamen und Passwörter von den Securus-Servern auszulesen.

Vor rund drei Jahren hatte die Firma schon einmal Schlagzeilen gemacht, nachdem ein Hacker die Aufzeichnungen von Telefongesprächen von Gefängnisinsassen mit deren Anwälten ausgelesen hatte. Der Konzern versprach damals, seine Sicherheitsvorkehrungen zu verschärfen.

Mehr zum Thema


insgesamt 3 Beiträge
Alle Kommentare öffnen
Seite 1
Paul Max 18.05.2018
1. ....
so ist das aber nicht gedacht, wenn hier jeder Zugriff auf die Daten hat, dann ist das ja nix mehr wert, For Eyes Only - sonst müssen die Geheimdienste weltweit doch nicht so viel in diese Infrastruktur investieren, wenn man da jederzeit rankommt.
rjb26 19.05.2018
2. aber
das ist doch keine Schwachstelle sondern extra für NSA und CIA so vorgesehen. nicht nur in den USA
capacity 19.05.2018
3.
Ich verstehe dabei nicht, warum diese Firmen überhaupt Zugriff auf die Positionsdaten aus dem Mobilfunknetz haben? Wozu soll man überhaupt noch der Positionsbestimmung per GPS zustimmen, wenn die gleichen Informationen auch anders verfügbar sind und nicht nur den Mobilfunkbetreibern in vertraulicher und sicherer Form bekannt sind, die sie ja zum Verbindungsaufbau benötigen? Fragen über Fragen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.