如果他们的产品允许访问其他用户的位置信息，我应该联系制造商吗？

http://www.example.com/mylocation/?id=YYYYY/XX.XXXXN/XX.XXXXW

http://www.example.com/mylocation/?id=YYYYZ

#1 楼

是的，您应该将问题通知公司-请谨慎。
更新：@crovers提供了一个简短但非常完整的答案。但是，如果您有耐心...
...这里的问题不仅仅是跟踪J. Random Stranger的可能性，而是：


被授予某人，显然您无法取回它，并且它不会过期。该人现在可以随处关注您（认为“恋恋过度的女友”）。此外，该ID可能会泄漏。电子邮件会被错误地转发，有时邮件程序中的小图标很容易被监控……字形覆盖了很多敏感信息。


您甚至不需要将其提供给我。如果这些ID是连续的[如@crovers所评论]，我可以在很短的时间内将所有这些ID制成表格，检查它们的位置，然后轻松地找出与我知道的位置足够接近的五个或六个。明天，另外五个或六个将足够接近您现在所在的其他位置；在这五个中，也许有两个在原始五个中，所以您必须是这两个中的一个。在相对较短的时间内，我将候选人缩小为一个：我现在有了您的身份证并且可以跟踪您，而您却再也不明智。


我什至可能都不认识您。该ID可用于恶作剧总数的陌生人。我只是在Google上搜索了一下，发现有成千上万的Facebook用户夸耀了他们的新名字（与GPS相关的小工具的名称）。我使用了一个非常知名的品牌，所以您的小工具可能只有一百个人，我很容易发现。我有信心，其中的一半会例行发布有关其所在位置的图片（Facebook是否清除EXIF GPS信息？）。
在很短的时间内，其中一个吸引了我的朋友可能会收到一条消息，指出“ Old Nowhereville的天气如何？”即使他（或她）从未对任何人说过他（或她）在哪里，也没有在任何地方张贴任何东西。这样的恶作剧-知道某些陌生人显然对您感兴趣，并且似乎总是知道您在哪里-完全会破坏您的一天。
如果某些被恶作剧的人确信，他们可能会完全破坏公司的一天。他们的GPS可以以某种方式被“远程入侵”，即使在这种情况下，这根本就没有发生。是的，我的想法很糟糕-但我不是唯一的一个，所以您可能希望将该公司的人员指向此页面-并且，为了重申@crovers和Arminius提出的另一个非常好的观点，请匿名进行。对他们的潜在损害是巨大的，您可以通过向他们指出这一点来帮他们大忙。但是有些公司可能会产生（膝盖）反应，并认为这解决了某些问题（甚至完全解决了问题），试图欺负您。诺贝尔奖获得者理查德·费曼（Richard P. Feynman）的故事很有趣（“那是他的解决方案：我是危险！”）。


您实际上是在帮助他们。

相信我，很多人会完全按照您在URL中看到“ id = XXXXX”时所做的事情来做。我会做的。根据小工具的受欢迎程度，我敢打赌其他许多人也会这样做。因此，这并不意味着您向本来可以保持安全的任何人释放了僵尸末日-您可能只是第一个有良心告诉他们根本不安全的人。因为那比具有更改ID的好奇心要稀少得多。

完全不必像这样。
从公司的角度来看，通过允许每个用户随时选择重新生成不同的秘密ID来解决此问题非常简单。甚至设置到期日期。他们现在仍然可以这样做。
一个非常快速的解决方法是通过与数据库连接的简单过滤器代理其网站。
您的新URL为http：//www.example .com / mylocation /？id = 22b255b332474ae3e7f008cc50ebe3e0＆...
可以将其转换为“ true.pony.pile.main.jazz.call.mine.soft.pink.rake.jane”以更轻松地获取内容通过电话记住或命令。
前四个单词在某种程度上与“正确的电池钉”相关。
代理在数据库中检查并发现22b255b332474ae3e7f008cc50ebe3e0是有效的ID，并且与“真实”（或“旧”）id 12345，因此它可以通过简单地将ID替换为12345来转换URL，将请求发送至真实的隐藏网站，获取页面，用原始22b2...内容重写任何12345，嘿presto !，外部用户可以看到您所在的页面，页面和以前一样，但是他无法知道真实的ID是12345（即使他知道，他也无法通过它来获取信息）
，但是现在，用户12345可以拥有公司想要的（或出售！）任意数量的活动ID，并给他妈妈一个，给他妈妈一个，等等。上。一个ID泄漏，或者他与朋友分手-他使那个ID失效。还可以知道对每个ID进行了多少次访问，因此侦听可以是双向的。可能仅适用于高级用户：-D。对于某些ID，该网站甚至可能会发布随机信息或低精度的GPS坐标。
而且，如果您想随机猜测一个有效的ID，那么，其中的2128个就可以了。如果每个客户有一百个一次性ID（例如27个），而公司有十亿个客户（例如230个），那么通过随机尝试获得有效ID的超过290个可能性仍然超过290个。如果太小（或者我的数学碰巧有点歪斜），也有更大的哈希值。
旧的ID不再起作用，因为如果没有提供的ID散列就无法访问原始服务器。
鉴于合理的实施成本（一个开发人员和一名QA工程师需要花费几天的时间，而我的工作量很大），我对此感到困惑，因为这并不是一开始就设计的。

#2 楼

是。他们应该使用长而不可猜测的字符串，而不是可预测的短字符串。

我认为这是一个相对容易修复的安全漏洞。

但是，我要提醒您-一些公司不能很好地处理这种情况。有些人（我认为是错误的）认为，更改该ID构成黑客入侵，他们可能威胁要起诉或指控您。那太蠢了，但我建议您匿名或通过中介与他们联系。

检查他们是否有赏金计划-（Google公司名称和Bug赏金）。如果他们没有，那么您可能要考虑使用中介机构-零日倡议是其中之一。

#3 楼

要添加其他答案，请当心自己报告问题的风险：

如果您不熟悉报告安全性问题，则可能会发现它们存在危险和潜在恶意。没有处理安全问题经验的公司可能会将您的报告转发给公司律师，而不是IT部门。显然，您只是想提供帮助，但主要是给他们造成麻烦。可能是，他们不希望此问题公开（这可能会对他们的商业声誉造成极大损害），因此，它们可能会以法律后果威胁您。在最坏的情况下，他们将联系执法机构，而无需另行通知。


出于好奇，我将URL的经纬度截短了一部分，并将ID更改了一个字符。


因此，您并不是偶然发现的。从公司的角度来看，您可以通过操纵URL来访问其他客户的数据-对他们而言，它的简单程度和您出于“好奇”而进行操作并不重要。他们可能仍然将您视为威胁，并做出不专业的反应。

您应该意识到这种可能的解释，并仔细决定是否值得承担这个风险。如果您在没有合同或没有鼓励漏洞发现的公共政策的情况下处理安全漏洞，那么您就处于合法的灰色地带。

#4 楼

如果我是您，我会说类似

Hello,
I have mistyped my ID (e.g. 12345) and pressed enter instead of backspace,
and I was dumbfounded to find that the page loaded and found 
the location of a stranger who has the ID next to mine (e.g. 12346).
Being able to track someone without their permission
seems to be a security problem, as someone that knows me on Facebook 
with a small bit of IT knowledge would be able to guess my ID without me knowing.

基本上，说您不是出于好奇而是偶然发现的。还可以匿名匿名发送（例如，不要使用您的真实身份证，而使用诸如jon.doe@gmail.com之类的邮件）。

在发送之前检查您的邮件，并可能让您认识的人读过

阅读它，就好像您是愤怒的拟人角色一样，这可能有助于您使其平顺，这样您就不会再因为某个人通过在床头上敲打脚趾而开始新的一天而发怒了。您。

如果他们不回答，或者一段时间没有做任何事情，请说（也许是一个月或2个星期，因为这是中等安全性问题），您会希望他们为此，您将尝试警告其他用户有关此问题的信息。如果他们仍然什么也不做，那就去做，但是要被警告，他们可能会不喜欢它。请参阅此zamfoo案例

，坚持认为，如果您发现这样琐碎的事情，则可能有更糟的人出于恶意目的使用，而其他用户也可能偶然发现了此事并对此感到担忧。

使用常识，使您看起来像是一个涉嫌用户，偶然发现了某个奇怪的用户或该用户的朋友，也可以使用。一点点“失误”，很多平静和礼貌对考验水势大有帮助。如果他们看起来足够友好，您可能会说您有能力（如果有），可以帮助他们跟踪问题。

如果您帮助他们并且他们很友好，您可能想问他们是否希望您积极检查其他潜在问题。 （如果他们在您方面有丰富的经验，可能会帮助您找到工作（他们可以谈论您，您有多好（友好但专业），等等。对于可能想要您的其他人。或者只是作为参考），或一些朋友。）

这也是他们获得免费广告的机会，如果他们反应良好，您可能会倾向于与有兴趣的人谈论他们。

无论您和他们做什么，保持冷静，不要迅速升级，了解他们的观点，也不要表现为威胁（1）

如果您看起来可以对他们造成的伤害超过您这将是有帮助的，这是将其置于防御状态并获得律师威胁/真实案件的最快方法，前提是您做了一些愚蠢的事情并且没有掩盖自己的理由。

（1）大多数情况下，不仅涉及安全问题，而且涉及或多或少生气的人（同事，老板）。

题外话：
你唯一想表现为威胁的地方是，如果你受到某人的威胁/某物确信没有人会反对他们（例如，非常生气的狗），请冷静地行走对他们表现出毫无恐惧感（即使您变棕色了），它们可能会开始吠叫更多，但它们会慢慢退缩，并让您通过（或杀死/伤害您，但如果您逃离那将是相同的） 。

ps：批评我说的话，我是一个愚蠢的人，我没有绝对的真理，如果事情看起来更好，思考一下想法，做最好的事情，看看会发生什么， 学习。

（也可以随意提出修改，如果看起来过于结构化/太长/乱七八糟，我不会咬。）

#5 楼

其他所有人似乎都在这里开枪。要考虑的关键部分是您如何成为最终用户，与其他最终用户（家人/朋友）共享您的位置。

如果您通过链接查看信息，并能够发送相同的链接对于家庭成员，则假设您是公开发布信息（没有授权系统）。

隐私声明或使用条款应对此进行说明。谁可以访问您的位置数据？公开提供了哪些信息？肯定可以澄清您提出的问题。

使用简单的Web链接不是我设计此类系统的方式，而是完全有意的。我也许建议您向他们询问有关隐私设置的信息。

#6 楼

这是一个有趣的问题，在大多数系统中，我认为这是暴露位置数据的不安全的直接参考漏洞。

实时gps位置应该被认为是敏感的，它可能有多种恶意用途。在这种情况下，虽然这是系统的整个要点，尽管我认为ID在保持可用状态（例如为字母数字）的同时应该更难猜测，但特定用户无法识别数据。还可以通过提供密码给想要授予访问权限的用户来保护它。

我认为这并不是安全隐患，只是实现不佳。问题是，如果一个陌生人浏览您的页面，您是否会觉得您的信息或隐私受到侵犯？如果是这样，请与制造商联系。

编辑：-修改了我对此的看法。我认为该系统容易受到攻击。标识符应该更难猜，并且最好使用密码保护。

#7 楼

发生此问题的原因是直接对象引用和易于枚举的ID。我们不应该在任何系统中使用容易枚举的ID，因为它会使攻击者容易猜到。如果您无法猜测ID，那么我们也可以降低直接对象引用的风险。他们应该为用户提供一些随机ID值或GUID来代表用户。

我认为这是一个主要流程，公司应该提供一些API，供家人/朋友通过身份验证，然后他们才能跟踪您。正如@Arminius所建议的，我们无法预测产品公司如何接受您的发现。最好将此通知为“匿名”。如果不使用责任披露模板或条款。

#8 楼

它并不代表缺陷。他们似乎认为这是可以接受的风险。我想知道以编程方式循环遍历UID并收集您可以参考以识别某人的数据有多么容易。如果他们只是给ID加盐，您仍然可以公开共享它，但是您不能轻易地在人们的位置之间循环。

#9 楼

我最近购买了卫星通讯器，可以在野外远足时将自己的位置地图发送给朋友和家人。


基于突出显示的内容，我认为该人主要购买了跟踪设备，该设备的主要目的是经常更新其在Internet上可公开获得的可预测位置的位置，以便搜索和救援服务可以自由轻松地访问您的位置信息，以协助您进行救援。

如果设备没有随附带有可预测网址的卡片，或者没有在卡片上写下您的ID的位置以获取位置信息的意图，那么我对此不会感到惊讶。

如果需要保护，则由您的家人进行搜索和救援。如果数据得到保护，搜索和救援获得访问权将变得更加困难。特别是由于该设备可以在全球范围内运行，并且法律在不同位置存在差异，因此即使家庭成员可以提供其登录凭据来搜索和救援团队成员，他们也很有可能在法律上不允许他们使用您的凭据来使用该服务。 br />
实时更新您的位置信息也特别有用，尤其是在步行很长时间且步行者仍在漫游的情况下。

发送电子邮件通知您当前位置的功能是一种签到的方式。由于在x倍的时间之后或在特定的时间或在特定的时间和位置之后没有签到电子邮件，它是家庭成员进行搜救的指示。这是一种便宜的方式，无需购买实际的卫星电话即可办理登机手续，而无需在无处可去的地方办理登机手续。

我认为他们很清楚它没有被保护，也认为它根本没有风险，因为正如产品的整个观点一样，它是整个产品的重点……这完全是设计使然。

如果您不想被追踪，请关闭设备，它将不再更新您的位置信息。

#10 楼

听起来这就是产品的设计方式。它使用UID + LAT / LONG与他人共享您的位置...因此，您基本上是在说您发现了产品的设计方式。那里没有缺陷。他们是否应该在需要PIN或访问位置数据的地方实施安全系统？当然。但是，如果产品的重点是共享您的位置，那么您只是发现了查看其他人的位置的捷径，这就是...等待它...它打算做什么。

如果需要，可以提交功能请求并说“嘿，您应该使用PIN或其他任何东西，因为任何人都可以看到别人的位置，等等”，但是根据您的描述，这似乎并不是一个缺陷。