Populær familie-tracking app lækker information til alle
Family Locator-appen, der er en af de mest downloadede tracking-apps med familiefokus, lækker information til både højre og venstre i real time. Appen er designet til at give forældre den sikkerhed, at de på ethvert givent tidspunkt kan se, hvor deres børn befinder sig, og det uden at skulle gå via en sikker konto.
Family Locator lækker private data
Sikkerhedsforsker Sanyam Jain har dog fundet frem til, at appen i flere har lækket real-time placeringer på den mange brugere. Oplysningerne er altså ikke blevet gemt på en sikker server men i stedet på en MongoDB-server uden kryptering og er let tilgængelig for uvedkommende.
Jain er med i non-profit-organisationen GDI Foundation, der netop arbejder for et mere trygt og mere åbent internet. Hans fund viste, at alle kontofortegnelser indeholdt personlig information og en version af kodeord i klartekst.
Derudover kunne man finde optegnelser over kontoindehavernes og deres familiers lokationer med en præcision ned til nogle meter, samt koordinaterne på de områder, brugerne har sat op som sikre for deres børn. Intet af dette var krypteret og via korrespondance med brugerne fandt han frem til, at det hele blev lagt ind på den åbne server i løbet af få sekunder.
Se også: Find billige mobilabonnementer
Ingen kommentarer fra udviklerne bag Family Locator
TechCrunch, der først bragte historien, har prøvet at få en kommentar fra udviklerne bag appen, React Apps, men det er ikke lykkedes. På selskabets hjemmeside er der ikke meget at hente om, hvor det hører hjemme, eller hvem der står bag selskabet.
Efter opdagelsen af den åbne server, blev Microsoft gjort opmærksom på problemet. Appen har nemlig ligget på Microsofts Azure-platform, men er nu blevet fjernet.
Det er ikke første gang, noget lignende er sket. Sidste år fandt forskere et stort sikkerhedshul på LocationSmarts hjemmeside, der gav mulighed for at tracke millioner af mobiler.
Se også: Nyheder om cyber sikkerhed