Pesquisadores de segurança descobriram múltiplas vulnerabilidades em centenas de serviços de GPS que poderiam permitir que os atacantes expusessem toda uma série de dados sensíveis em milhões de dispositivos de localização de localização gerenciados por serviços GPS vulneráveis.
A série de vulnerabilidades descobertas por dois pesquisadores de segurança, Vangelis Stykas e Michael Gruhn, que apelidou os bugs como ' Trackmageddon ' em um relatório , detalhando os principais problemas de segurança que encontraram em muitos serviços de rastreamento GPS.
Trackmageddon afeta vários serviços de GPS que colhem dados Geolocation de usuários de uma série de dispositivos habilitados para GPS Smart, incluindo rastreadores de crianças, rastreadores de carros, rastreadores de animais entre outros, em um esforço para permitir que seus proprietários para manter o controle de onde eles estão.
De acordo com os pesquisadores, as vulnerabilidades incluem senhas fáceis de adivinhar (como 123456), pastas expostas, pontos de extremidade de API inseguros e problemas de referência direta de objeto inseguro (IDOR).
Ao explorar essas falhas, um terceiro ou hacker não autorizado pode ter acesso a informações pessoalmente identificáveis coletadas por todos os dispositivos de rastreamento de localização, incluindo coordenadas GPS, números de telefone, modelo de dispositivo e informações de tipo, números IMEI e nomes atribuídos personalizados.
A dupla disse que tentaram contactar os fornecedores potencialmente afetados por trás dos serviços de rastreamento afetados para alertá-los sobre a gravidade dessas vulnerabilidades.
De acordo com os pesquisadores, um dos maiores fornecedores globais de dispositivos de rastreamento GPS, ThinkRace, pode ter sido o desenvolvedor original do software de serviço de localização em caso de falhas de localização e vendedor de licenças para o software.
Embora quatro dos domínios ThinkRace afetados tenham sido corrigidos, os domínios restantes ainda usando os mesmos serviços defeituosos continuam a ser vulneráveis. Uma vez que muitos serviços ainda podem usar versões antigas do ThinkRace, os usuários são instados a manter-se atualizado.
Stykas e Gruhn também recomendaram algumas sugestões para que os usuários evitassem essas vulnerabilidades, o que inclui a remoção da quantidade de dados dos dispositivos afetados, alterando a senha para os serviços de rastreamento e mantendo um forte, ou apenas parando para usar os dispositivos afetados até As questões são corrigidas.
"Nós tentamos dar aos vendedores o tempo suficiente para consertar (também responda para esse assunto) enquanto ponderamos isso contra o risco imediato atual dos usuários", escreveram os pesquisadores em seu relatório.
"Nós entendemos que apenas uma correção de fornecedor pode remover o histórico de localização do usuário (e qualquer outro dado de usuário armazenado para esse assunto) dos serviços ainda afetados, mas nós (e eu, pessoalmente porque meus dados também estão em um desses sites) julgam o risco de essas vulnerabilidades são exploradas contra dispositivos de rastreamento de localização ao vivo muito maiores do que o risco de dados históricos serem expostos ".Em muitos casos, os fornecedores tentaram corrigir as vulnerabilidades, mas as questões acabaram por aparecer novamente. Cerca de 79 domínios ainda são vulneráveis e os pesquisadores disseram que não sabiam se esses serviços seriam corrigidos.
"Houve vários serviços on-line que deixaram de ser vulneráveis ao nosso código automatizado de prova de conceito, mas porque nunca recebemos uma notificação de um fornecedor que eles os corrigiram, pode ser que os serviços voltem a ser novamente vulneráveis", a dupla disse.Você pode encontrar toda a lista de domínios afetados no relatório Trackmageddon.
Stykas e Gruhn também recomendaram algumas sugestões para que os usuários evitassem essas vulnerabilidades, o que inclui a remoção da quantidade de dados dos dispositivos afetados, alterando a senha para os serviços de rastreamento e mantendo um forte, ou apenas parando para usar os dispositivos afetados até As questões são corrigidas.
FONTE:thehackernews.com
Comentários
Postar um comentário