r   e   k   l   a   m   a
r   e   k   l   a   m   a

Trackmageddon: luki w aplikacjach trackerów narażają nas fizycznie

Strona główna AktualnościBEZPIECZEŃSTWO

Usługi i urządzenia pozwalające na śledzenie położenia z pomocą GPS-u nie są bezpieczne. Analitycy znaleźli serię poważnych luk, które nazwali zbiorczo Trackmageddon.

Badaniem usług bazujących na GPS zajęli się Vangelis Stykas i Michael Gruhn. Na warsztat wzięli usługi gromadzące dane o położeniu z różnych urządzeń, w tym znajdujących się w naszych samochodach, obrożach psów, urządzeniach dla dzieci, smartzegarków i wielu innych. Dane z każdego z urządzeń są zwykle przechowywane w klasycznych bazach, które pozwalają wykorzystywać zmiany położenia w oprogramowaniu towarzyszącym naszym urządzeniom. Jednak informacje te nie są bezpieczne, podobnie jak wpisy o naszych urządzeniach i prawdopodobnie też dane osobiste.

Trackmageddon można wykorzystać na wiele sposobów. Podatności obejmują między innymi łatwe do zgadnięcia, słownikowe hasła zabezpieczające dane, niezabezpieczone API węzłów komunikacyjnych, wadliwej wersji oprogramowania ThinkRace do zbierania danych GPS i Insecure Direct Object Reference (IDOR) – zjawisko zachodzące, gdy aplikacja nie weryfikuje danych wprowadzonych przez użytkownika (logonów, haseł, nagłówków, tokenów itp.).

r   e   k   l   a   m   a

Luki teoretycznie można wykorzystać nie tylko do wydobycia danych o położeniu urządzeń powiązanych z badanymi usługami. W niektórych przypadkach można zdobyć także numery telefonów użytkowników, informacje o urządzeniach (IMEI, numer seryjny i inne) i inne informacje, zależnie od tego, jakie dane podamy w usłudze.

Badacze w ciągu ostatnich kilku miesięcy starali się powiadomić wrażliwe usługi o odkryciach, jednak z marnym skutkiem. Ponad 100 zignorowało powiadomienia i nie załatało znalezionych luk. O właściwe bezpieczeństwo danych zadbała mniejszość… a konkretnie tylko 4. Wielu producentów w ogóle nie ma na swoich stronach informacji kontaktowych, więc powiadomienie ich o znalezionych lukach było bardzo trudne. ThinkRace także już załatał swoje oprogramowanie, ale możemy przypuszczać, że wiele usług nie zaktualizowało tych bibliotek.

Pojawił się jeszcze jeden problem. Zwykle w takich sytuacjach hakerzy w „białych kapeluszach” dają usługodawcom sporo czasu na naprawienie błędów, zanim ujawnią informacje o swoich odkryciach. Tym razem jednak użytkownicy są narażeni na to, że atakujący zdobędą aktualne informacje o bieżącej lokalizacji psa, dziecka czy samochodu. To stwarza ogromne zagrożenie, także fizyczne, łącznie z włamaniami, aktami wandalizmu, szantażem, nękaniem i porwaniem, dlatego badacze zdecydowali się poinformować nas o niebezpieczeństwie.

Jeśli używacie urządzeń śledzących położenie, koniecznie sprawdźcie, czy na stronie Trackmageddonu wymieniona została strona jego producenta. Najlepiej zrobicie wyłączając swoje trackery i zostawiając je w domu.

© dobreprogramy

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.