Các nhà nghiên cứu bảo mật đã phát hiện ra nhiều lỗ hổng trong hàng trăm dịch vụ GPS có thể cho phép kẻ tấn công để lộ toàn bộ dữ liệu nhạy cảm trên hàng triệu thiết bị theo dõi vị trí trực tuyến được quản lý bởi các dịch vụ GPS dễ bị tấn công.
Một loạt lỗ hổng được phát hiện bởi hai nhà nghiên cứu bảo mật, Vangelis Stykas và Michael Gruhn, người đã đặt tên cho các lỗi là ‘theo dõimageddon‘ trong một báo cáo, nêu chi tiết các vấn đề bảo mật chính mà họ gặp phải trong nhiều dịch vụ theo dõi GPS.
Trackmageddon ảnh hưởng đến một số dịch vụ GPS thu thập dữ liệu định vị địa lý của người dùng từ một loạt thiết bị hỗ trợ GPS thông minh, bao gồm thiết bị theo dõi trẻ em, thiết bị theo dõi ô tô, thiết bị theo dõi thú cưng trong số những thiết bị khác, nhằm nỗ lực cho phép chủ sở hữu của chúng theo dõi vị trí của họ.
Theo các nhà nghiên cứu, các lỗ hổng bao gồm mật khẩu dễ đoán (chẳng hạn như 123456), các thư mục bị lộ, điểm cuối API không an toàn và các sự cố tham chiếu đối tượng trực tiếp (IDOR) không an toàn.
Bằng cách khai thác những lỗ hổng này, bên thứ ba trái phép hoặc tin tặc có thể truy cập vào thông tin nhận dạng cá nhân được thu thập bởi tất cả các thiết bị theo dõi vị trí, bao gồm tọa độ GPS, số điện thoại, thông tin về kiểu và loại thiết bị, số IMEI và tên được chỉ định tùy chỉnh.
Hơn thế nữa là gì? Trên một số dịch vụ trực tuyến, bên thứ ba trái phép cũng có thể truy cập ảnh và bản ghi âm do thiết bị theo dõi vị trí tải lên.
Bộ đôi cho biết họ đã cố gắng liên hệ với các nhà cung cấp có khả năng bị ảnh hưởng đằng sau các dịch vụ theo dõi bị ảnh hưởng để cảnh báo họ về mức độ nghiêm trọng của các lỗ hổng này.
Theo các nhà nghiên cứu, một trong những nhà cung cấp thiết bị theo dõi GPS lớn nhất toàn cầu, ThinkRace, có thể là nhà phát triển ban đầu của phần mềm dịch vụ trực tuyến theo dõi vị trí có lỗi và là người bán giấy phép cho phần mềm này.
Học cách bảo vệ phạm vi nhận dạng – Các chiến lược đã được chứng minh
Cải thiện bảo mật doanh nghiệp của bạn với hội thảo trực tuyến về an ninh mạng do chuyên gia hướng dẫn sắp tới của chúng tôi: Khám phá các chiến lược Vành đai nhận dạng!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Mặc dù bốn trong số các miền ThinkRace bị ảnh hưởng hiện đã được khắc phục, nhưng các miền còn lại vẫn sử dụng các dịch vụ bị lỗi tương tự vẫn tiếp tục dễ bị tấn công. Vì nhiều dịch vụ có thể vẫn đang sử dụng các phiên bản ThinkRace cũ, nên người dùng được khuyến khích luôn cập nhật.
Các nhà nghiên cứu đã viết trong báo cáo của họ: “Chúng tôi đã cố gắng cung cấp cho các nhà cung cấp đủ thời gian để khắc phục (cũng như phản hồi về vấn đề đó) trong khi chúng tôi cân nhắc vấn đề này với rủi ro trước mắt hiện tại của người dùng”.
“Chúng tôi hiểu rằng chỉ bản sửa lỗi của nhà cung cấp mới có thể xóa lịch sử vị trí của người dùng (và mọi dữ liệu người dùng được lưu trữ khác cho vấn đề đó) khỏi các dịch vụ vẫn bị ảnh hưởng nhưng chúng tôi (và cá nhân tôi vì dữ liệu của tôi cũng nằm trên một trong những trang web đó) đánh giá rủi ro của những lỗ hổng này được khai thác đối với các thiết bị theo dõi vị trí trực tiếp cao hơn nhiều so với nguy cơ dữ liệu lịch sử bị lộ.”
Trong nhiều trường hợp, các nhà cung cấp đã cố gắng vá các lỗ hổng, nhưng vấn đề cuối cùng lại xuất hiện. Khoảng 79 miền vẫn còn lỗ hổng và các nhà nghiên cứu cho biết họ không biết liệu các dịch vụ này có được khắc phục hay không.
“Đã có một số dịch vụ trực tuyến không còn dễ bị tổn thương đối với mã bằng chứng khái niệm tự động của chúng tôi, nhưng vì chúng tôi chưa bao giờ nhận được thông báo từ nhà cung cấp rằng họ đã sửa chúng, nên có thể các dịch vụ trực tuyến trở lại dễ bị tấn công”, bộ đôi này nói. nói.
Bạn có thể tìm thấy toàn bộ danh sách các miền bị ảnh hưởng trên báo cáo Trackmageddon.
Stykas và Gruhn cũng đề xuất một số gợi ý cho người dùng để tránh các lỗ hổng này, bao gồm xóa càng nhiều dữ liệu khỏi các thiết bị bị ảnh hưởng càng tốt, thay đổi mật khẩu cho các dịch vụ theo dõi và giữ mật khẩu mạnh hoặc chỉ dừng sử dụng các thiết bị bị ảnh hưởng cho đến khi vấn đề được khắc phục.
