Pytanie:
Czy powinienem skontaktować się z producentem, jeśli jego produkt umożliwia dostęp do informacji o lokalizacji innych użytkowników?
Lil' Bits
2017-01-10 03:18:48 UTC
view on stackexchange narkive permalink

Niedawno kupiłem komunikator satelitarny, który umożliwia mi wysyłanie mapy mojej lokalizacji do znajomych i rodziny podczas wędrówki po bezdrożach.

Podczas testowania mojego produktu zauważyłem, że adres URL został zbudowany w następujący sposób: 

  http://www.example.com/mylocation/?id=YYYYY/XX.XXXXN/XX.XXXXW

Gdzie X s to cyfry stanowiące część fizycznej szerokości / długości geograficznej, a Y s to część 5-znakowego alfanumerycznego identyfikatora.

Ciekawość , Skróciłem część adresu URL zawierającą szerokość / długość geograficzną i zmieniłem identyfikator o jeden znak. 

  http://www.example.com/mylocation/?id=YYYYZ

W ten sposób mogłem zobaczyć innego użytkownika:

  • fizyczną szerokość / długość geograficzną lokalizację na mapie
  • nazwę urządzenia (cokolwiek wybrał nazwij to; większość ludzi ma coś takiego jak „Harry's GPS”)
  • niestandardowa, wstępnie ustawiona wiadomość używana podczas wysyłania ich lokalizacji, jeśli mają jeden zestaw (np. „Meldowanie się - jestem bezpieczny”).

Moje pytania To znaczy, czy to stanowi lukę w zabezpieczeniach i czy firma powinna zostać o tym ostrzeżona?

Mój argument za skontaktowaniem się z firmą byłby taki, że zobaczenie fizycznych lokalizacji innych użytkowników jest rażąca wada; Jednak o to właśnie chodzi w produkcie - aby łatwo udostępniać swoją lokalizację rodzinie / znajomym. Nie widzę też, do kogo faktycznie należy urządzenie (imię i nazwisko, numer telefonu, nazwa użytkownika, adres e-mail itp.), Więc dane o lokalizacji są anonimizowane, o ile wiem.

Wyszukaj hasło „odpowiedzialne ujawnianie informacji”, aby wiedzieć, jak to zrobić, aby ograniczyć swoją osobistą odpowiedzialność.
@MobyDisk Czy problem dotyczy odpowiedzialności osobistej?Jest to oczywisty, rażąco niepewny, dobrze znany, niechlujny, często występujący problem.Po prostu zażądałbym zwrotu towaru bezpośrednio od nich i kupiłbym produkt konkurencji.Nie musisz mówić, że zmieniłeś identyfikator.Możesz po prostu zaznaczyć, że jest to dobrze znana luka
Możesz zastanowić się, jakie korzyści możesz uzyskać, mówiąc im.Najwyraźniej nie masz obowiązku im o tym mówić, skoro zadajesz to pytanie.
Zgłoś to anonimowo, jeśli odpowiedzą pozytywnie, zawsze możesz później ujawnić swoją tożsamość.Jeśli spróbują pozwać lub ukryć sprawę, możesz publicznie ujawnić lukę.
W zasadzie nie ma prawdopodobieństwa, że nie wiedzą o tym problemie - jest to tak oczywista cecha projektu, że nawet jeśli nie jest to ściśle celowe, musi to być znane ograniczenie „bezpieczeństwa” produktu.Więc prawie na pewno dosłownie * nie możesz * ostrzec ich o problemie.W najlepszym przypadku możesz ich ostrzec, że sam to zauważyłeś.Myślę, że to całkiem dobrze odrzuca wszelką odpowiedzialność, jaką możesz chcieć ujawnić producentowi.Możesz chcieć poinformować opinię publiczną, jeśli producent złożył fałszywe oświadczenia dotyczące bezpieczeństwa.
@SteveJessop Spotkałem programistów, którzy zakodowaliby taką lukę, nie wiedząc o tym, oraz niedziałające procesy przeglądu kodu, które pozwoliłyby na jej wdrożenie.Powiadomienie ich może być warte zachodu.
@SteveJessop W rzeczywistości zdarza się to tak często, że znajduje się w pierwszej dziesiątce OWASP - A4 (Insecure Direct Object References)
Czy możesz opublikować komentarz, abyśmy mogli usłyszeć odpowiedź firmy?
Myślę, że jak zawsze należy zauważyć, że żadna z tych odpowiedzi, nawet jeśli wspominają o kwestiach prawnych i potencjalnych problemach, nie stanowi porady prawnej.
@JanDoggen Tak.Nie ma tygodnia, w którym nie widzę wiadomości o badaczu bezpieczeństwa, który został pozwany za ujawnienie luki w zabezpieczeniach.
możesz zrobić na odwrót, powiedzieć im, że ktoś inny cię prześladuje po zakupie urządzenia, a ten prześladowca w końcu przyznał, że odgadł Twój identyfikator użytkownika i chcesz odzyskać pieniądze.
@SteveJessop Myślę, że nie warto robić takich założeń bez popierania ich ... czymś / czymkolwiek
Rozważ zmianę adresów URL na http://www.example.com?Domena -----.com jest teraz niedostępna, ale nie ma gwarancji, że pozostanie na zawsze, podczas gdy example.com i example.org mają być w 100% bezpiecznymi, trwałymi domenami zastępczymi dla dokumentacji.
@Mołot Zmieniłem to na „example.com”
@kryten Gdybym chciał zgłosić to anonimowo, musiałbym mieć pewność, że nie będzie to dla mnie identyfikowalne.Chciałbym również wysłać im ten wątek do dyskusji, ponieważ mógłby być dla nich przydatny.Zastanawiam się jednak, czy raportowanie jest [warte możliwych konsekwencji] (http://security.stackexchange.com/a/6370/44995).To nie jest duża firma, ale wolałbym, aby moje rzeczy nie były atakowane w celu manipulacji adresem URL.Powiadomię wątek, jeśli / kiedy się z nimi skontaktuję, i opublikuję odpowiedź.
w jaki sposób to urządzenie może wysyłać dane?ma kartę SIM czy co?co mam szukać, żeby znaleźć takie urządzenia?
Dziesięć odpowiedzi:
LSerni
2017-01-10 03:54:07 UTC
view on stackexchange narkive permalink

Tak, powinieneś zgłosić problem firmie - z zachowaniem ostrożności.

Aktualizacja: krótszą, ale bardzo kompletną odpowiedź udzielił @crovers . Ale jeśli masz cierpliwość ...

... problem polega nie tylko na możliwości śledzenia J. Random Stranger, ale raczej na tym:

  • gdy ktoś otrzyma Twój identyfikator, najwyraźniej nie możesz go odebrać i nie traci ważności. Ta osoba może teraz podążać za Tobą wszędzie (pomyśl „ nadmiernie przywiązana dziewczyna”). Ponadto ten identyfikator może wyciekać. E-maile są przekazywane przez pomyłkę, a czasami mały, łatwy do przeoczenia glif ... w programach pocztowych obejmuje wiele poufnych informacji.

  • nie nawet musisz mi go dać . Jeśli identyfikatory są sekwencyjne [jak skomentował @crovers], mogę zestawić je wszystkie w bardzo krótkim czasie, sprawdzić ich położenie i łatwo wyodrębnić pięć lub sześć, które są wystarczająco blisko pozycji Wiem, że możesz być. Jutro pozostałych pięciu lub sześciu będzie wystarczająco blisko innego miejsca, w którym teraz jesteś; z tych pięciu, może dwóch było w oryginalnej piątce, więc musisz być jednym z tych dwóch. W stosunkowo krótkim czasie zawęziłem moich kandydatów do jednego : mam teraz twój identyfikator i mogę cię prześladować, a ty nie jesteś mądrzejszy .

  • Mogę cię nawet nie znać . Identyfikator może być użyty do wyśmiewania nieznajomych. Po prostu trochę googlowałem i znalazłem kilka tysięcy użytkowników Facebooka, którzy chwalili się swoim nowym (NAZWA GADŻETU ZWIĄZANEGO Z GPS). Użyłem bardzo znanej marki, więc Twój gadżet będzie miał może tylko sto osób, które mogę łatwo znaleźć. Jestem przekonany, że połowa z nich będzie rutynowo publikować zdjęcia o tym, gdzie się znajdują ( czy Facebook czyści informacje EXIF ​​GPS? ). Za chwilę jeden z nich, który wpadł mi w oko, może otrzymać wiadomość o treści „Jaka jest pogoda w Old Nowhereville?”. nawet jeśli on (lub ona) nigdy nikomu nie powiedział nic o tym, gdzie jest (lub ona), ani nawet niczego nie opublikował. Takie figle - i świadomość, że jakiś nieznajomy najwyraźniej jest tobą zainteresowany i zawsze wydaje się wiedzieć, gdzie jesteś - mogą całkowicie zrujnować ci dzień. I mogą całkowicie zrujnować dzień firmy, jeśli niektórzy oszukani ludzie przekonają się, że ich GPS można w jakiś sposób „zhakować zdalnie”, nawet jeśli, tak jak w tym przypadku, w ogóle tak się nie dzieje. Tak, mam chory umysł - ale nie jestem jedyny, więc możesz wskazać pracownikom firmy tę stronę - i, aby powtórzyć kolejną bardzo dobrą wypowiedź @crovers i Arminius, zrób to anonimowo. Potencjalne szkody dla nich są ogromne i wyświadczasz im wielką przysługę, wskazując im to . Ale niektóre firmy mogą reagować odruchowo i próbować zmusić Cię do milczenia, wierząc, że to coś rozwiązuje (lub nawet całkowicie rozwiązuje sprawę); Historia Nobla Richarda P. Feynmana stanowi przezabawną lekturę („ To było jego rozwiązanie: byłem zagrożeniem! ”).

Właściwie im pomagasz.

  • Zaufaj mi, wiele, wiele osób zrobiłoby dokładnie to, co Ty widząc „id = XXXXX” w adresie URL. Ja bym to zrobił. Założę się, że w zależności od popularności gadżetu wielu innych już to zrobiło. Więc to nie tak, że rozpętasz apokalipsę zombie nad kimś, kto w przeciwnym razie pozostałby bezpieczny - prawdopodobnie będziesz pierwszym, który miał sumienie powiedzieć im, że w ogóle nie są bezpieczni . Ponieważ jest to znacznie rzadsze niż ciekawość zmiany identyfikatora.

Zupełnie tak nie musiało być.

Jest trywialnie , z punktu widzenia firmy, naprawienie tego problemu poprzez umożliwienie każdemu użytkownikowi odtworzenia na żądanie innego tajnego identyfikatora w dowolnym momencie. A nawet ustaw datę ważności. I nadal mogliby to zrobić teraz .

Bardzo szybkim rozwiązaniem mogłoby być proxy ich witryny internetowej przez prosty filtr połączony z bazą danych.

Twój nowy adres URL to, powiedzmy, http://www.example.com/mylocation/?id=22b255b332474ae3e7f008cc50ebe3e0& ...

lub można to przetłumaczyć to do „true.pony.pile.main.jazz.call.mine.soft.pink.rake.jane”, aby uzyskać coś łatwiejszego do zapamiętania lub podyktowania przez telefon.

pierwsze cztery słowa są w pewnym stopniu powiązane z „prawidłową zszywką do baterii dla koni” .

Serwer proxy sprawdza bazę danych i stwierdza, że ​​ 22b255b332474ae3e7f008cc50ebe3e0 jest prawidłowym identyfikatorem i jest powiązany z „prawdziwym” (lub „starym”) identyfikatorem 12345 , więc przekształca adres URL, zastępując go po prostu 12345, wysyła żądanie do prawdziwej, ukrytej witryny, pobiera stronę z powrotem, przepisuje wszystkie 12345 z oryginalnymi elementami 22b2 ... i hej presto! , zewnętrzną użytkownik może zobacz, gdzie jesteś, ta sama strona co poprzednio, ale nie ma możliwości dowiedzenia się, że prawdziwy identyfikator to 12345 (i nawet gdyby wiedział, nie miałby sposobu, aby go przekazać do systemu, który teraz akceptuje tylko skróty ).

Ale teraz użytkownik 12345 może mieć tyle aktywnych identyfikatorów, ile firma chce (lub sprzedaje !) i może przekazać jeden swojej mamie, drugi swojemu SO wkrótce. Jeden dowód wycieka albo zrywa ze swoim przyjacielem - unieważnia ten jeden. Staje się również możliwe, aby dowiedzieć się, ile dostępów było do każdego identyfikatora, więc węszenie może być dwukierunkowe. Prawdopodobnie tylko dla użytkowników premium :-D. W przypadku niektórych identyfikatorów witryna może nawet udostępniać losowe informacje lub mało precyzyjne współrzędne GPS.

A jeśli chcesz odgadnąć losowo prawidłowy identyfikator - cóż, jest ich około 2 128 . Gdyby każdy klient miał sto jednorazowych identyfikatorów (powiedzmy 2 7 ), a firma miała miliard klientów (powiedzmy 2 30 ), nadal istniałaby około jedna możliwość ponad 2 90 , aby uzyskać prawidłowy identyfikator, próbując losowo. Jeśli to za mało (lub jeśli moja matematyka była trochę krzywa), są też większe skróty.

A stary identyfikator już nie działa, ponieważ nie możesz połączyć się z oryginalnym serwerem bez identyfikatora. podaży jest zaszyfrowana.

Biorąc pod uwagę rozsądny koszt wdrożenia (kilka dni dla jednego programisty i jednego inżyniera ds. kontroli jakości, a ja jestem mocno ), jestem trochę zdumiony, że nie zostało to zaprojektowane od samego początku.

„Z punktu widzenia firmy jest to banalnie proste, aby to naprawić, umożliwiając każdemu użytkownikowi odtworzenie na żądanie innego tajnego identyfikatora.” - Uważam, że dany alfanumeryczny identyfikator jest odtwarzany przy każdej aktualizacji.To identyfikator aktualizacji, a nie identyfikator użytkownika.
@kundor, Nie wiem.Jest opisywany jako * 5-znakowy alfanumeryczny identyfikator *;to naprawdę niewiele, nawet jeśli jest przyrostowy (iz czasem może stać się 32-znakowym alfanumerycznym identyfikatorem).Pozostaje problem z przewidywalnością.
Niezależnie od tego, czy jest to identyfikator aktualizacji, czy identyfikator użytkownika, ogólną zasadą, której zdecydowali się nie przestrzegać, jest to, że identyfikatory publiczne powinny być wystarczająco duże i (pseudo) losowe, aby nie można było ich odgadnąć.Dane osobowe dostępne publicznie powinny * również * podlegać odwołaniu / usunięciu.Więc nawet jeśli jest to tylko identyfikator aktualizacji, więc wpływ jest mniejszy niż podano tutaj, nadal jest równie denerwujące, że nie zrobili tego poprawnie.
@LSerni - tak, Facebook czyści dane EXIF.Ogólnie rzecz biorąc, jest to coś, w czym media społecznościowe i witryny do udostępniania zdjęć od dawna są bardzo dobre.Od lat eliminują metadane zdjęć.
Był kiedyś serwis randkowy, który miał tę lukę, ale gorszą.Możesz przejść do example.com/profile.php?id=xxxxx i edytować ich profil, nawet nie mając płatnego konta.(dzięki @Mołot)
Facebook zachowuje dane EXIF GPS i pyta, czy chcesz oznaczyć lokalizację jako znajdującą się w metadanych obrazu.To jest przerażające i denerwujące.
Gwałciciel może szukać wszystkich imion żeńskich, a następnie prześladować je, aż znajdą się w odosobnionym miejscu.
@niemiro Chociaż wątpię, czy zrobili to z zamiarem, o którym tutaj mowa.Prawdopodobnie woleli raczej pozbyć się wszelkich informacji o prawach autorskich, a gdy są przy tym, całkowicie usunęli EXIF, aby zminimalizować rozmiar pliku i tak przeskalować;)
Wydaje mi się, że to tylko kwestia czasu, zanim termin „CHBS”, wymawiany jako „kleń”, będzie reprezentował skojarzone semantycznie generowanie hasła ze słownika losowego.
@hBy2Py, przypadkiem nie wyszukałeś w Google 'xkcd chbs'?:-)
@LSerni Dobrze znam ten komiks;Nie wiedziałem, że akronim został już ujednolicony.Ups.:-RE
@LSerni Co ciekawe, *** nie mogę *** Google 'xkcd chbs'.Wciąż daje mi wyniki wyszukiwania dla „xkcd cubs”, nawet gdy klikam „Wyszukaj zamiast tego xkcd chbs”.
Wyświetlane są tylko nazwy urządzeń @Chloe.Inteligentna osoba użyje ogólnej nazwy urządzenia.W przypadku większości urządzeń trudno będzie określić, czy są to kobiety czy mężczyźni.W rzeczywistości prześladowca może mieć bardzo trudne chwile.Prawdziwym problemem jest to, że ktoś prześladuje kogoś, kogo znają lub * już prześladuje *.I myślę, że inna opcja ... po prostu zaatakują kogoś losowo.Myślę, że nie muszą kogoś prześladować przez kilka dni.
crovers
2017-01-10 03:35:19 UTC
view on stackexchange narkive permalink

Tak. Powinni używać długiego, niemożliwego do odgadnięcia ciągu znaków zamiast przewidywalnego, krótkiego.

Uznałbym to za lukę w zabezpieczeniach, którą mogą stosunkowo łatwo naprawić.

Jednak Ostrzegam - niektóre firmy nie radzą sobie zbyt dobrze z takimi sytuacjami. Niektórzy twierdzą (moim zdaniem niesłusznie), że zmiana tego identyfikatora stanowi włamanie i mogą grozić pozwaniem lub postawieniem zarzutów. To głupie, ale radziłbym skontaktować się z nimi anonimowo lub przez pośrednika.

Sprawdź, czy mają program nagród - (nazwa firmy Google i lista błędów). Jeśli tak się nie stanie, możesz rozważyć skorzystanie z usług pośrednika - jedną jest inicjatywa Zero Day.

Tak, bądź bardzo ostrożny![Sądy w USA] (https://security.stackexchange.com/a/6368/15392) (re: AT&T) należą do tych, które uważają, że zmiana identyfikatora jest nielegalna!
+1 za przejście od razu do sedna problemu, co jest dla mnie stosunkowo nieciekawe w porównaniu z większym naciskiem na „tak, ale” dotyczący ryzyka dla reportera związanego z możliwymi reakcyjnymi postawami firmy.Pytanie brzmiało „Czy powinienem to zgłosić?”, A nie „Jak powinni byli to zrobić?”, Więc myślę, że trafia w cel bardziej zwięźle.
Ale czy wykrycie problemu związanego z bezpieczeństwem i zgłoszenie go firmie bez wykorzystania go nie liczyłoby się z definicji jako etyczne włamanie?
@Neinstein Słysząc „etyczne hakowanie” niektórzy ludzie usłyszą „etyczny”, a inni po prostu usłyszą „hakowanie”.
@Neinstein: Zagrożenie dla osoby, która to robi, wiąże się z faktem, że „etyczny hack” może być nadal ścigany, ponieważ nie wszystko, co jest etyczne, jest legalne.Bycie męczennikiem w imię lepszego bezpieczeństwa to dobra i szlachetna rzecz, ale nadal nie należy się w to przypadkowo robić ;-)
Chciałbym wiedzieć, jak podszedłbyś do kogoś anonimowo?Czy po prostu skonfigurowałbyś nowy adres e-mail - wydaje się, że wiele z nich wymaga adresu + telefonu komórkowego, co ułatwi Ci wyśledzenie?
Jeśli hakowanie jest niezgodne z prawem, prawdopodobnie jest to przestępstwo, niezależnie od tego, co zrobisz później.Prawdopodobnie jest to hakowanie etyczne, ale etyczne i prawne to dwie różne rzeczy. Legalne, etyczne hakowanie zwykle polega na uzyskaniu z góry pozwolenia od właściciela zdalnego systemu, który został zhakowany, lub zakupie urządzenia i włamaniu do niego, więc hakujesz własną własność.
Można to sformułować w następujący sposób: „Bawiłem się własnym adresem URL i zauważyłem, że usuwanie długich / szer. Nie wpłynęło na wyświetlanie mojej mapy [ponieważ jest to nadal TWÓJ identyfikator, który wpisujesz] i mam obawy, że jeśli ktoś innywpisali mój identyfikator do adresu URL, który mogliby mnie śledzić ”.W ten sposób wydaje się, że martwisz się o własne bezpieczeństwo.Można go również sformułować w następujący sposób: „Zauważyłem, że mój identyfikator, który jest krótką i przewidywalną wartością, znajduje się w adresie URL ... czy to może być luka w zabezpieczeniach?”
@drewbenn O sprawie AT&T mówi się wiele, jeśli chodzi o zgłaszanie, ale aby być uczciwym wobec sądów amerykańskich, mimo że nadal uważam, że wynik był całkiem zły, sytuacja nie była nawet w najmniejszym stopniu podobna do zgłoszenia luki w zabezpieczeniach.Sprawa dotyczyła wykorzystywania (niemal równie głupiej) podatności na zabawę i irytację innych.Nadal ostrzegałbym ludzi przed zgłaszaniem, ponieważ nawet jeśli myślę, że prawdopodobnie zwyciężyłbyś pod względem merytorycznym, nie każdy chce przeznaczyć setki godzin (i być może pieniądze, chociaż ACLU lub ktoś mógłby zająć się sprawą) dla bezpieczeństwa innych.
Arminius
2017-01-10 04:46:06 UTC
view on stackexchange narkive permalink

Aby dodać do innych odpowiedzi - pamiętaj o ryzyku związanym z samodzielnym zgłaszaniem problemu :

Jeśli nie masz doświadczenia w zgłaszaniu problemów związanych z bezpieczeństwem, możesz natknąć się na jako podejrzane i potencjalnie złośliwe. Firma, która nie ma doświadczenia w rozwiązywaniu problemów związanych z bezpieczeństwem, może przekazać Twoje zgłoszenie prawnikowi, a nie działowi IT. Oczywiście po prostu chcesz pomóc, ale dla nich głównie sprawiasz kłopoty. Są szanse, że nie chcą, aby sprawa została upubliczniona (co mogłoby poważnie zaszkodzić ich reputacji biznesowej) i dlatego mogą grozić Ci konsekwencjami prawnymi. W najgorszym przypadku skontaktują się z organami ścigania bez dalszego powiadomienia.

Będąc zaciekawionym, skróciłem część adresu URL z linią prostą / długą i zmieniłem identyfikator o jeden znak.

Więc nie znalazłeś tego przez przypadek. Z punktu widzenia firmy uzyskałeś dostęp do danych innych klientów manipulując adresem URL - nie będzie dla nich miało znaczenia, jakie to proste i że zrobiłeś to „po prostu z ciekawości”. Mogą nadal postrzegać Cię jako zagrożenie i reagować nieprofesjonalnie.

Powinieneś być świadomy tej możliwej interpretacji i dokładnie zdecydować, czy warto zaryzykować. Jeśli masz do czynienia z błędami bezpieczeństwa bez umowy lub polityki publicznej zachęcającej do polowania na błędy, znajdujesz się w legalnej szarej strefie.

... i * szara strefa *, która była czasami entuzjastycznie bombardowana przez różne firmy w niedawnej przeszłości, jak zauważyli inni :-(
satibel
2017-01-10 19:52:28 UTC
view on stackexchange narkive permalink

Na twoim miejscu powiedziałbym coś w stylu 

  Witaj, źle wpisałem swój identyfikator (np. 12345) i nacisnąłem enter zamiast backspace, i byłem oniemiały, stwierdzając, że strona załadowany i znalazł lokalizację nieznajomego, który ma identyfikator obok mojego (np. 12346) .Możliwość namierzenia kogoś bez jego zgody wydaje się być problemem bezpieczeństwa, ponieważ ktoś, kto zna mnie na Facebooku i ma niewielką wiedzę informatyczną, byłby mogę odgadnąć mój identyfikator bez mojej wiedzy.

Zasadniczo, powiedzmy, że znalazłeś go nie z ciekawości, ale przez przypadek. Wyślij to również pseudo anonimowo (np. Nie używaj swojego prawdziwego identyfikatora i wysyłaj e-maile przy użyciu czegoś takiego jak jon.doe@gmail.com).

Sprawdź swoją pocztę przed wysłaniem i może poproś kogoś, kogo znasz, aby ją przeczytała .

Przeczytaj to tak, jakbyś był uosobieniem złości, co może pomóc ci ją złagodzić, tak aby nie pozwolić, aby ktoś, kto zaczął dzień od uderzenia palcem w słupek łóżka, wyładował na tobie swój gniew.

Jeśli nie odpowiedzą lub nie zrobią nic z tym przez jakiś czas, powiedz (może po miesiącu lub 2, ponieważ jest to średni problem z bezpieczeństwem), że chcesz, aby coś zrobili o tym lub spróbujesz ostrzec innych użytkowników o tym problemie. Jeśli nadal nic nie robią, zrób to, ale ostrzegaj, może im się to nie podobać. zobacz ten przypadek zamfoo

Nalegaj, że jeśli uznasz to za tak trywialne, jak ten, ktoś gorszy może używać do nikczemnych celów, a inni użytkownicy mogliby się na to natknąć i też się martwić .

Kieruj się zdrowym rozsądkiem, aby wyglądać jak zaniepokojony użytkownik, który natknął się na coś dziwnego lub jako przyjaciel tego użytkownika, który też działa. Trochę „nieprawdy”, dużo spokoju i uprzejmości wystarcza, by przetestować wody. Jeśli wydają się wystarczająco przyjaźni, możesz powiedzieć, że jesteś kompetentny (jeśli jesteś) i możesz pomóc im w śledzeniu problemu.

Jeśli im pomożesz, a oni są przyjaźni, możesz zapytać ich, czy chcą, abyś aktywnie sprawdził inne potencjalne problemy. (Jeśli mają z tobą duże doświadczenie, które może pomóc ci w znalezieniu pracy (mogą porozmawiać o tobie, o tym, jak dobry (przyjazny, ale profesjonalny) jesteś) itp. Innym osobom, które mogą cię chcieć. Lub po prostu służyć jako punkt odniesienia), lub kilku znajomych.)

Jest to dla nich również okazja do otrzymania darmowej reklamy, jeśli dobrze zareagują, prawdopodobnie będziesz skłonny porozmawiać o nich z osobami, które mogą być zainteresowane.

Cokolwiek ty i oni robicie, zachowaj spokój, nie eskaluj szybko, zrozum ich punkt widzenia i NIE POSTAWAJ SIĘ JAKO ZAGROŻENIE (1)

Jeśli wyglądasz na możesz ich uszkodzić bardziej niż byś pomógł, to najszybszy sposób na postawienie ich w defensywie i uzyskanie groźby prawnika / prawdziwej sprawy, jeśli zrobiłeś coś głupiego i nie ukryłeś swoich powodów.

(1) To działa w większości przypadków, nie tylko w przypadku mówienia o bezpieczeństwie, ale także z mniej lub bardziej złymi ludźmi (współpracownicy, szefowie).

Dygresja: Jedynym momentem, w którym możesz chcieć pojawić się jako zagrożenie, jest to, że jeśli grozi Ci ktoś / coś pewnego, że nic mu się nigdy nie przeciwstawi (np. bardzo zły pies), spokojnie podejdź do niego bez strachu (nawet jeśli brązowisz spodnie), prawdopodobnie zaczną bardziej szczekać, ale powoli cofną się i pozwolą ci przejść (lub zabiją cię / okaleczą, ale jeśli uciekniesz, to będzie to samo).

ps: Bądź krytyczny wobec tego, co mówię, jestem głupim człowiekiem i nie posiadam absolutnej prawdy, jeśli coś wydaje się lepsze, rozważaj pomysły, rób to, co wydaje się najlepsze i zobacz, co się stanie, ucz się.

(Zapraszam również do proponowania zmian, jeśli wydaje się to zbyt nieustrukturyzowane / długie / zawiłe, nie gryzę.)

Jeśli powiesz `` błędnie wpisałem swój identyfikator (np. 12345) '' - czy nie oznacza to utraty Twojej anonimowości?(Ponieważ podajesz swój własny identyfikator?)
@toogley „wyślij to pseudo anonimowo (np. Nie używaj swojego prawdziwego identyfikatora, [...])”
To oczywiste podejście, ale nie polecam oszukiwania prawdy.Zgłaszając anonimowo, tak.
Wspomnij firmę, której * obawiasz się *, że osoba zidentyfikowana przez „12346” może błędnie wpisać „12345” i zobaczyć ** moja ** lokalizacja
Wysyłałem im wiadomość z jednorazowego e-maila zarejestrowanego przez TOR, a następnie publikowałem lukę w TOR, jeśli nie naprawią jej w ciągu kilku tygodni.Łatwiej jest winić „hakera” niż przyznać się do winy, więc upewnij się, że niemożliwe (a dokładniej) bardzo trudne do wyśledzenia.
@JonathanReez to inny sposób na zrobienie tego, nie taki, który mi się podoba, ponieważ nie możesz (prawdopodobnie) nawiązywać dobrych kontaktów, jeśli są przyjazne.Ale jeśli są zbyt zadowoleni z siebie lub leniwi, być może będziesz musiał użyć tego. pamiętaj, że tylko kilka firm będzie zirytowanych, jeśli skontaktujesz się z nimi jako zainteresowany klientem, jeśli tak, uciekniesz od nich.
dark_st3alth
2017-01-10 04:01:54 UTC
view on stackexchange narkive permalink

Wydaje się, że wszyscy inni skaczą tutaj z pistoletu. Kluczową kwestią do rozważenia jest to, W JAKI SPOSÓB jesteś użytkownikiem końcowym, udostępnij swoją lokalizację innym użytkownikom końcowym (rodzinie / znajomym).

Jeśli przeglądasz informacje za pomocą łącza i jesteś w stanie wysłać ten sam link do członków rodziny, zakłada się, że publikujesz informacje publicznie (nie ma systemu autoryzacji).

Oświadczenie o ochronie prywatności lub Warunki użytkowania powinny to jasno określać. Kto może uzyskać dostęp do danych o Twojej lokalizacji? Jakie informacje są podawane do wiadomości publicznej? Z pewnością wyjaśniłoby to zaproponowane przez Ciebie pytanie.

Korzystanie z prostego łącza internetowego nie jest sposobem zaprojektowania takiego systemu, ale wydaje się całkowicie zamierzone. Być może proponuję zapytać ich o ustawienia prywatności.

Ze ściśle prawnego punktu widzenia prawdopodobnie masz rację.Ale faktem jest, że ustawienia prywatności mają tylko jedno ustawienie, a jest to „brak”.Biorąc pod uwagę, że tak wiele wartości można było dodać tak niewielkim kosztem, uważam, że jeszcze tego nie zrobiłem, cóż ... * fascynujące *.
Z pewnością gdybym miał to zaprojektować, miałbym przynajmniej takie hasło, aby tylko niektóre osoby, którym je udostępniasz, miały dostęp.Brak systemów uwierzytelniania lub autoryzacji jest absurdalny, jeśli nie znacząca wada myślenia.Jak myślisz, o czym jeszcze zapomnieli?
Zgadzam się, że użycie linku nie jest tutaj idealne, ale nie o to chodzi.Nawet jeśli użytkownik nie udostępni łącza, inni mogą uzyskać dostęp do jego lokalizacji.Tak więc wydaje się, że odpowiedzią na twoje pytania „Kto i co” są wszyscy i wszystko.Wątpię, czy urządzenie jest reklamowane jako takie, więc jest to rzeczywiście luka w zabezpieczeniach.
Zakłada się jednak, że korzystając z usługi, zezwalasz nieokreślonym innym osobom na dostęp do informacji o Twojej lokalizacji.W praktyce nie jest to dobre, ale dla uproszczenia jest to bardzo rozsądne.* Nie ma usprawiedliwienia dla braku kontroli prywatności *, ale użytkownik zarejestrował się i zaczął korzystać z usługi.
iainpb
2017-01-10 03:34:51 UTC
view on stackexchange narkive permalink

To interesujące pytanie, w większości systemów uważam to za niezabezpieczoną lukę w bezpośrednich odniesieniach ujawniającą dane o lokalizacji.

Lokalizacja GPS w czasie rzeczywistym powinna być uważana za wrażliwą, może mieć wiele nikczemnych zastosowań. W tym przypadku jest to jednak cały punkt systemu i chociaż uważam, że identyfikatory powinny być trudniejsze do odgadnięcia, a jednocześnie pozostają użyteczne (np. Alfanumeryczne), dane nie są identyfikowalne dla konkretnego użytkownika. Można go również zabezpieczyć hasłem, które podajesz użytkownikom, którym chcesz przyznać dostęp.

Nie sądzę, że jest to zagrożenie bezpieczeństwa jako takie, po prostu słaba implementacja. Pytanie brzmi, czy uważasz, że Twoje informacje lub prywatność zostały naruszone, jeśli nieznajomy przeglądał Twoją stronę? Jeśli tak, zgłoś to producentowi.

Edycja: - Poprawiłem moją opinię na ten temat. Uznałbym ten system za podatny na ataki. Identyfikatory powinny być trudniejsze do odgadnięcia i najlepiej chronione hasłem.

Zastanów się - jeśli ktoś wie, że masz takie urządzenie i aktualnie zna Twoją fizyczną lokalizację.Mogą znaleźć Twoje urządzenie, sprawdzając wszystkie identyfikatory i znajdując urządzenie, które jest aktualnie w Twojej lokalizacji.Odtąd zawsze mogą się dowiedzieć.Myślę, że na pewno jest to luka w zabezpieczeniach.
Słuszna uwaga, byłoby to dość trywialne do skryptu i szybkiego wyliczenia.
user3496510
2017-01-10 09:44:12 UTC
view on stackexchange narkive permalink

Ten problem występuje z powodu bezpośredniego odwołania do obiektu i łatwych do wyliczenia identyfikatorów. Nie powinniśmy używać łatwych do wyliczenia identyfikatorów w żadnym systemie, ponieważ umożliwia to atakującemu łatwe przypuszczenie. Jeśli nie możesz zgadnąć identyfikatorów, możemy również zmniejszyć ryzyko bezpośredniego odniesienia do obiektu. Powinny mieć jakąś losową wartość identyfikatora lub identyfikator GUID, który ma reprezentować użytkownika.

Ponieważ uważam, że jest to główny przepływ i firma powinna zapewnić pewne API, w którym rodzina / przyjaciel jest uwierzytelniony, zanim będą mogli Cię śledzić. Jak zasugerował @Arminius, nie możemy przewidzieć, jak firma produkująca produkt zaakceptuje Twoje odkrycie. Zawsze lepiej jest poinformować o tym jako Anonimowy. Jeśli nie, użyj szablonu lub warunków odpowiedzialnego ujawniania informacji.

tim_shane
2017-01-10 04:07:39 UTC
view on stackexchange narkive permalink

To nie nie oznacza wady. Wygląda na to, że uważają, że jest to dopuszczalne ryzyko. Zastanawiam się, jak łatwo byłoby programowo przechodzić między identyfikatorami UID i zbierać dane, do których można by się odwołać, aby kogoś zidentyfikować. Gdyby po prostu zasolili identyfikator, nadal możesz go udostępniać otwarcie, ale nie możesz łatwo przechodzić między lokalizacjami ludzi.

Całkowicie się zgadzam.Podejrzewam jednak, że nie przemyśleli ryzyka biznesowego.Nie jest to wielka szkoda, jeśli moja lokalizacja zostanie ujawniona, ale może to łatwo doprowadzić ludzi do przekonania, że gadżet jest * niepewny *.Czy koszt solenia dowodu jest o wiele wyższy niż koszt PR tylko * jednego * okrzyku alarmu w sieci społecznościowej?(Który szybko wyrósłby tuzin „tutoriali” przez niedoszłych „l33t crack3rs” - tak jakbyśmy nie widzieli, że dzieje się to zbyt wiele razy).
Doskonała uwaga.Oparty na chmurze moduł do śledzenia lokalizacji nie powinien reagować na obawy dotyczące bezpieczeństwa.To świetny sposób na zrujnowanie firmy.
Żeby było jasne: nie pisz i nie uruchamiaj tego hipotetycznego programu.Facet, który zrobił to z systemem rejestracji AT&T iPad, spędził w rezultacie kilka lat w amerykańskim ** więzieniu federalnym **.
Ciekawy punkt.Większość firm, ze względu na koszty, nie docenia takich kwestii związanych z prywatnością, nawet jeśli są tego świadome.Mówią "nie róbmy nic, jak tylko ktoś zgłosi. To ryzykowne, ale naprawa kosztuje".Tylko silny organ regulacyjny wspierany odpowiednim prawem dotyczącym prywatności może zmusić firmy do przestrzegania standardów.* Czasami * zdarza się to w UE, ale w przypadku małych firm bardzo trudno jest podjąć działania lub zostać ukarane na czas.To zupełnie inna historia, gdy ktoś mówi „Whatsapp może wyciekać poufne dane” niż „ACME może wyciekać poufne dane”
axawire
2017-01-11 04:06:48 UTC
view on stackexchange narkive permalink

Niedawno kupiłem komunikator satelitarny , który umożliwia mi wysyłanie mapy mojej lokalizacji do znajomych i rodziny podczas wędrówki po dzikiej pustyni

Na podstawie zaznaczonego stwierdzenia myślę, że dana osoba kupiła przede wszystkim urządzenie śledzące, którego głównym celem jest częste aktualizowanie swojej lokalizacji w publicznie dostępnej i przewidywalnej lokalizacji w Internecie, tak aby wyszukiwać i służby ratownicze mają bezpłatny, łatwy dostęp do informacji o Twojej lokalizacji, aby pomóc Ci w ratowaniu.

Nie zdziwiłbym się, gdyby urządzenie nie zawierało karty z przewidywalnym adresem URL na niej lub w miejscu zapisanie na nim swojego identyfikatora w celu uzyskania informacji o lokalizacji z zamiarem przekazania tej karty do poszukiwań i ratowania przez Twoją rodzinę, gdy będziesz potrzebować uratowania.

Gdyby dane były zabezpieczone, bardziej problematyczne dla poszukiwań i ratownictwa w celu uzyskania dostępu. Zwłaszcza, że ​​urządzenie może działać globalnie, a przepisy różnią się w różnych lokalizacjach, jest całkiem możliwe, że nawet jeśli członkowie rodziny mogą podawać swoje dane logowania członkom zespołu poszukiwawczego i ratunkowego, mogą zgodnie z prawem nie mieć prawa do korzystania z nich w celu korzystania z tej usługi.

Aktualizowane na żywo informacje o Twojej lokalizacji są również znacznie bardziej pomocne, zwłaszcza w sytuacjach, gdy dojście do Ciebie na piechotę zajmie dużo czasu, a osoba z lokalizatorem nadal wędruje.

Możliwość wysłania wiadomości e-mail, która powiadamia kogoś o Twojej aktualnej lokalizacji, jest sposobem meldowania się. W przypadku braku wiadomości e-mail dotyczących meldowania się po upływie x czasu lub w określonych godzinach lub w określonych godzinach i lokalizacjach jest to wskaźnik dla członka rodziny, aby wezwać poszukiwania i ratownictwo. Jest to niedrogi sposób na meldowanie się bez kupowania prawdziwego telefonu satelitarnego, aby się zameldować będąc w szczerym polu.

Myślę, że zdają sobie sprawę, że nie jest to zabezpieczone, a także uważają, że nie stanowi to żadnego ryzyka, ponieważ jest to cały punkt produktu, tak jak powiedziała inna osoba ... jest to całkowicie zgodne z projektem.

Jeśli nie chcesz, aby Cię śledzono, wyłącz urządzenie, a nie będzie już aktualizować informacji o Twojej lokalizacji.

To jest witryna bezpieczeństwa.I nie, „użyteczny na pustyni” nie oznacza, że „powinien być wystawiany publicznie”.Komunikacja satelitarna jest * koniecznością * dla łączności w dziczy.Nie oznacza to w ogóle nic o sposobie, w jaki należy zakładać, że połączenie jest używane przez klientów.
Evan R.
2017-01-10 05:36:10 UTC
view on stackexchange narkive permalink

Wygląda na to, że tak zaprojektowano ten produkt. Używa UID + LAT / LONG, aby udostępniać swoją lokalizację ludziom ... więc w zasadzie mówisz, że odkryłeś, jak zaprojektowano produkt. Brak wady. Czy może powinni wdrożyć system bezpieczeństwa, w którym potrzebujesz kodu PIN lub czegoś, aby uzyskać dostęp do danych o lokalizacji? pewnie. Ale jeśli celem produktu jest udostępnianie Twojej lokalizacji, to właśnie odkryłeś krótki sposób, aby zobaczyć lokalizację innych osób, czyli ... poczekaj na to ... do czego został zaprojektowany.

Jeśli chcesz, prześlij prośbę o dodanie funkcji i powiedz „Hej, powinieneś użyć kodów PIN lub czegoś podobnego, ponieważ każdy może zobaczyć lokalizację kogoś innego itp.”, ale poza tym nie wygląda to na usterkę w oparciu o to, co opisałeś.

Inne odpowiedzi obejmują wady w tym: tylko dlatego, że chcesz teraz udostępniać swoją lokalizację, nie oznacza, że chcesz ją udostępniać * na zawsze *, a tylko dlatego, że chcesz udostępnić swoją lokalizację jednej osobie, nie oznacza, że chcesz to udostępnićto z * wszystkimi *.Powiedzenie, że to nie jest luka w zabezpieczeniach, ponieważ jest przeznaczona do udostępniania danych o lokalizacji, to trochę tak, jakby powiedzieć, że problem, w którym można przeglądać pliki Dropbox innego użytkownika, nie jest luką w Dropbox, ponieważ jest to usługa przeznaczona do udostępniania plików.
@XiongChiamiov dobrze ... dlatego ja, jak i inni, zasugerowałem hasło / PIN.Nigdy nie powiedziałem, że to najlepszy sposób robienia tego, co robią, tak jak dwie puszki + sznurek prawdopodobnie nie jest najlepszym sposobem komunikacji na duże odległości.Działa zgodnie z oczekiwaniami, ale nie jest najbezpieczniejszym / optymalnym sposobem na zrobienie tego.
Sądząc po OP, wygląda na to, że nie potrzebuje LAT / LONG do działania - tylko UID wydaje się wskazywać lokalizację na mapie (tj. LAT / LONG jest pobierany z zaplecza, a następnie wprowadzany, prawdopodobnie przekazuje dane dofrontend, aby frontend mógł poprawnie wyświetlić mapę).


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...