window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'UA-73077775-3');

Centenas de serviços de rastreamento de localização GPS deixando dados de usuário abertos para hackers

Pesquisadores de segurança descobriram múltiplas vulnerabilidades em centenas de serviços de GPS que poderiam permitir que os atacantes expusessem toda uma série de dados sensíveis em milhões de dispositivos de localização de localização gerenciados por serviços GPS vulneráveis.

A série de vulnerabilidades descobertas por dois pesquisadores de segurança, Vangelis Stykas e Michael Gruhn, que apelidou os bugs como ‘Trackmageddon’ em um relatório, detalhando os principais problemas de segurança que encontraram em muitos serviços de rastreamento GPS.

O Trackmageddon afeta vários serviços de GPS que colhem dados de geolocalização de usuários de uma série de dispositivos inteligentes habilitados para GPS, incluindo rastreadores de crianças, rastreadores de carros, rastreadores de animais, entre outros, em um esforço para permitir que seus proprietários acompanhem o local onde estão.

De acordo com os pesquisadores, as vulnerabilidades incluem senhas fáceis de adivinhar (como 123456), pastas expostas, pontos de extremidade API inseguros e problemas de referência de objeto direto inseguro (IDOR).

Ao explorar essas falhas, um terceiro ou hacker não autorizado pode acessar informações pessoais identificáveis ​​coletadas por todos os dispositivos de rastreamento de localização, incluindo coordenadas GPS, números de telefone, modelo de dispositivo e informações de tipo, números IMEI e nomes atribuídos personalizados.

O que mais?

Em alguns serviços on-line, um terceiro não autorizado também pode acessar fotos e gravações de áudio carregadas por dispositivos de localização de rastreamento.

A dupla disse que tentaram contactar os fornecedores potencialmente afetados por trás dos serviços de rastreamento afetados para alertá-los sobre a gravidade dessas vulnerabilidades.

De acordo com os pesquisadores, um dos maiores fornecedores globais de dispositivos de rastreamento GPS, ThinkRace, pode ter sido o desenvolvedor original do software de serviço de localização em caso de falhas de localização e vendedor de licenças para o software.

Embora quatro dos domínios ThinkRace afetados tenham sido corrigidos, os domínios restantes ainda usando os mesmos serviços defeituosos continuam a ser vulneráveis. Uma vez que muitos serviços ainda podem usar versões antigas do ThinkRace, os usuários são instados a manter-se atualizado.

“Nós tentamos dar aos vendedores o tempo suficiente para consertar (também responda para esse assunto) enquanto ponderamos isso contra o risco imediato atual dos usuários”, escreveram os pesquisadores em seu relatório.

“Nós entendemos que apenas uma correção de fornecedor pode remover o histórico de localização do usuário (e qualquer outro dado de usuário armazenado para esse assunto) dos serviços ainda afetados, mas nós (e eu, pessoalmente porque meus dados também estão em um desses sites) julgam o risco de essas vulnerabilidades são exploradas contra dispositivos de rastreamento de localização ao vivo muito maiores do que o risco de dados históricos serem expostos “.

Em muitos casos, os fornecedores tentaram corrigir as vulnerabilidades, mas as questões acabaram por aparecer novamente. Cerca de 79 domínios ainda são vulneráveis ​​e os pesquisadores disseram que não sabiam se esses serviços seriam corrigidos.

“Houve vários serviços on-line que deixaram de ser vulneráveis ​​ao nosso código automatizado de prova de conceito, mas porque nunca recebemos uma notificação de um fornecedor que eles os corrigiram, pode ser que os serviços voltem a ser novamente vulneráveis”, a dupla disse.

Você pode encontrar toda a lista de domínios afetados no relatório Trackmageddon.

Stykas e Gruhn também recomendaram algumas sugestões para que os usuários evitassem essas vulnerabilidades, o que inclui a remoção da quantidade de dados dos dispositivos afetados, alterando a senha para os serviços de rastreamento e mantendo um forte, ou apenas parando para usar os dispositivos afetados até As questões são corrigidas.



Fonte: The Hacker News

Autor: Swati Khandelwal

By |2018-03-01T03:54:34+00:00março 1st, 2018|Categories: Notícias, Privacidade|Tags: , |Comentários desativados em Centenas de serviços de rastreamento de localização GPS deixando dados de usuário abertos para hackers

About the Author: