Các nhà nghiên cứu bảo mật đã phát hiện ra rất nhiều lỗ hổng trong hàng trăm dịch vụ GPS để lộ ra toàn bộ dữ liệu nhạy cảm trên hàng triệu thiết bị theo dõi vị trí trực tuyến do các dịch vụ GPS dễ bị kẻ tấn công lợi dụng khai thác.
Hàng loạt các lỗ hổng này được phát hiện bởi hai nhà nghiên cứu về an ninh mạng Vangelis Stykas và Michael Gruhn, người ta đã gọi lỗi này là ‘Trackmageddon’ trong một báo cáo và đã mô tả chi tiết các vấn đề bảo mật chính mà họ gặp phải trong nhiều dịch vụ theo dõi GPS.
Trackmageddon tác động đến một số dịch vụ GPS thu thập dữ liệu vị trí địa lý của người dùng từ một loạt các thiết bị hỗ trợ cho GPS thông minh, bao gồm các thiết bị theo dõi trẻ em, theo dõi xe, người theo dõi vật nuôi, nhằm nỗ lực để chủ sở hữu của họ theo dõi được vị trí của họ.
Bạn có biết hầu hết các Doanh nghiệp đang gặp phải những lỗ hổng bảo mật này?
Theo các nhà nghiên cứu, các lỗ hổng này bao gồm các mật khẩu dễ đoán (ví dụ như 123456), các thư mục dễ bị mạo hiểm, điểm cuối API không an toàn và các vấn đề tham chiếu đối tượng trực tiếp không an toàn (IDOR).
Bằng cách khai thác các lỗ hổng này, bên thứ ba hoặc hacker không được ủy quyền có thể truy cập vào thông tin nhận dạng cá nhân được thu thập bởi tất cả các thiết bị theo dõi vị trí, bao gồm tọa độ GPS, số điện thoại, mô hình thiết bị và thông tin, số IMEI và các tên được chỉ định.
Hơn thế nữa Trên một số dịch vụ trực tuyến, bên thứ ba trái phép cũng có thể truy cập ảnh và bản ghi âm được tải lên bởi thiết bị theo dõi vị trí.
Bộ đôi này cho biết họ đã cố gắng liên lạc với các nhà cung cấp tiềm năng bị ảnh hưởng phía sau các dịch vụ theo dõi bị ảnh hưởng để cảnh báo họ về mức độ nghiêm trọng của các lỗ hổng này.
Theo các nhà nghiên cứu, một trong những nhà cung cấp toàn cầu lớn nhất cho các thiết bị theo dõi GPS, ThinkRace, có thể đã là nhà phát triển ban đầu của phần mềm dịch vụ trực tuyến theo vị trí lỗi và người bán giấy phép cho phần mềm. Mặc dù bốn lĩnh vực ThinkRace bị ảnh hưởng và đã được khắc phục, các lĩnh vực còn lại vẫn sử dụng các dịch vụ GPS có lỗ hổng mà chưa có động thái khắc phục. Vì nhiều dịch vụ vẫn đang sử dụng các phiên bản cũ của ThinkRace nên các nhà cung cấp khuyến cáo người dùng cập nhật các bản mới.
Các nhà nghiên cứu đã viết trong báo cáo: “Chúng tôi đã cố gắng cung cấp cho các nhà cung cấp đủ thời gian để sửa chữa và phổ biến thông tin đến với người dùng”.
“Chúng tôi hiểu rằng chỉ một bản sửa lỗi của nhà cung cấp mới có thể xóa lịch sử vị trí của người dùng từ các dịch vụ vẫn bị ảnh hưởng, những lỗ hổng này đang được khai thác đối với các thiết bị theo dõi vị trí trực tiếp cao hơn nhiều so với nguy cơ dữ liệu lịch sử bị phơi bày.”
Trong nhiều trường hợp, các nhà cung cấp đã cố gắng vá các lỗ hổng nhưng chúng lại bị xuất hiện lại. Khoảng 79 lĩnh vực khác vẫn còntồn tại các lỗ hổng, và các nhà nghiên cứu cho biết họ không biết liệu những dịch vụ này có được khắc phục hay không. Bạn có thể tìm thấy toàn bộ danh sách các tên miền bị ảnh hưởng trong báo cáo Trackmageddon.
Stykas và Gruhn cũng đề xuất một số gợi ý để người dùng tránh những lỗ hổng này, bao gồm việc xóa càng nhiều dữ liệu khỏi các thiết bị bị ảnh hưởng càng tốt, thay đổi mật khẩu cho các dịch vụ theo dõi và giữ một mật khẩu mạnh, hoặc chỉ dừng lại để sử dụng các thiết bị bị ảnh hưởng cho đến khi vấn đề là cố định.
XEM THÊM: Dịch vụ đánh giá, rà soát lỗ hổng toàn diện Securitybox