Nos últimos dias temos visto falhas de segurança graves em várias tecnologias, como é o caso do Banco Inter e até mesmo nos emails criptografados. Agora, foi revelado que uma empresa de rastreamento de smartphones tinha uma falha de segurança que permitia pessoas rastrearem a localização de qualquer um dos milhões de norte-americanos, bastando apenas ter o número de celular do alvo.

A LocationSmart estava fornecendo dados de localização usando "conexões diretas" das principais operadoras de telefonia dos Estados Unidos, e ofereceu uma demonstração gratuita em seu site para que clientes em potencial pudessem experimentar seu serviço de rastreamento em tempo real.

Claro, o objetivo era que tudo fosse feito de forma segura, para que você pudesse saber a localização de pessoas da sua família em casos de emergência, por exemplo. Tudo o que você tinha que fazer no teste gratuito era garantir que você tinha o consentimento do proprietário do número de telefone que iria rastrear. A LocationSmart disse que enviaria uma mensagem de texto ou ligaria a este número para garantir que tudo seria seguro.

Até aí tudo bem, mas um simples bug no site da empresa permitiu que um pesquisador da Universidade Carnegie Mellon fosse capaz de burlar essa etapa de consentimento e rastrear qualquer dispositivo que quisesse, sem limitações.

Robert Xiao, um estudante de doutorado no Instituto de Interação Humano-Computador da Universidade Carnegie Mellon, disse que descobriu o bug em cerca de 15 minutos depois de acessar o site da LocationSmart. Mesmo antes disso, ele estava certo de que o sistema da empresa tinha uma falha desse tipo, bastava apenas um entendimento "elementar" sobre websites.

Basicamente, o sistema usa dados de geolocalização que compra das principais operadoras de telefonia móvel dos EUA. Robert Xiao conseguiu "enganar" o site porque a página não estava verificando corretamente se uma pessoa recebeu o consentimento necessário.

Xiao primeiro tentou em seu próprio celular. Em seguida, pediu a vários de seus amigos para ver se ele poderia tentar com seus números de telefone. Claro, sempre sem usar a autenticação do sistema da LocationSmart.

Eu tinha um amigo dirigindo pelo Havaí e o vi dirigindo pela ilha com sua permissão. Ficou claro para mim naquele ponto que ninguém que eu havia contatado recebeu uma mensagem de texto ou uma notificação enquanto eu as estava rastreando.

Depois de descobrir a falha, ele procurou a United States Computer Emergency Readiness Team, uma organização do Departamento de Segurança Interna dos EUA, para divulgar a vulnerabilidade. Também relatou o caso para o jornalista Brian Krebs, que divulgou a história pela primeira vez.

A página de demonstração do LocationSmart está offline e a empresa não respondeu a um pedido de comentário.