Hàng trăm dịch vụ theo dõi vị trí GPS của người dùng đang mở cửa cho hacker tấn công

www.tuoitre.vn -   07/01/2018 03:00:00 2503

Các chuyên gia nghiên cứu bảo mật đã phát hiện ra nhiều lỗ hổng trong hàng trăm dịch vụ GPS có thể cho phép hacker tấn công khai thác khi để lộ ra toàn bộ các dữ liệu nhạy cảm trên hàng triệu thiết bị theo dõi vị trí trực tuyến được quản lý bởi các dịch vụ GPS này.

Hàng trăm dịch vụ theo dõi vị trí GPS của người dùng đang mở cửa cho hacker tấn công

Hàng loạt các lỗ hổng được hai nhà nghiên cứu an ninh mạng là Vangelis Stykas và Micheal Gruhn. Họ gọi những lỗi này là Trackmageddon trong báo cáo của mình. Trong đó, họ mô tả chi tiết các vấn đề bảo mật chính mà họ gặp được trong nhiều dịch vụ theo dõi vị trí GPS hiện nay.

Trackmageddon có ảnh hưởng đến nhiều dịch vụ GPS thu thập các dữ liệu vị trí địa lý của người dùng trên một loạt các thiết bị hỗ trợ GPS thông minh. Các thiết bị này bao gồm các thiết bị theo dõi trẻ em, theo dõi xe hơi thông minh, theo dõi vật nuôi nhằm hỗ trợ người dùng giám sát vị trí của con trẻ, vật nuôi và tài sản của họ.

Theo các nhà nghiên cứu thì lỗ hổng bao gồm các mật khẩu dễ đoán như 123456, các thư mục dễ mở, đầu cuối API không an toàn và các vấn đề tham chiếu đối tượng trực tuyến không được bảo mật khác (IDOR).

Bằng cách khai thác những lỗ hổng này, một bên thứ ba nào đó hay hacker hoàn toàn có thể truy cập vào thông tin nhận dạng cá nhân được thu thập bởi tất cả thiết bị theo dõi vị trí dù không được ủy quyền đi chăng nữa. Những thông tin có thể bị thu thập gồm tọa độ GPS, số điện thoại, mẫu thiết bị, thông tin loại thiết bị, số IMEI và các tên được chỉ định.

Hàng trăm dịch vụ theo dõi vị trí GPS của người dùng đang mở cửa cho hacker tấn công

Hơn thế nữa là trên các dịch vụ trực tuyến, bên thứ ba cũng có thể truy cập trái phép để lấy ảnh và các bản ghi âm được tải lên bởi thiết bị theo vị trí.

Hai nhà bảo mật cho biết rằng họ đã cố gắng liên lạc với các nhà cung cấp dịch vụ bị ảnh hưởng bởi lỗ hổng này để cảnh báo về mức độ nghiêm trọng của các lỗ hổng để họ nhanh chóng khắc phục.

Cũng theo các nhà nghiên cứu thì một trong những nhà cung cấp thiết bị theo dõi GPS hàng đầu thế giới ThinkRace có thể là nhà phát triển ban đầu của phần mềm dịch vụ theo dõi vị trí trực tuyến bị lỗ hổng và cũng là nhà bán giấy phép cho phền mềm này.

Mặc dù 4 vùng bị ảnh hưởng của ThinkRace đã được khắc phục nhưng các vùng còn lại vẫn còn dễ bị tổn thương bởi vẫn đang sử dụng các dịch vụ chứa lỗ hổng tương tự. Vì nhiều dịch vụ vẫn có thể sử dụng các phiên bản cũ của ThinkRace, do đó người dùng cần phải nhanh chóng cập nhật phiên bản mới nhất để bảo vệ mình.

Các nhà nghiên cứu cũng cho biết thêm trong báo cáo rằng họ đã cố gắng cung cấp cho các nhà phát triển đủ thời gian để khắc phục những lỗi này cũng như là phản hồi về vấn đề trong khi chúng tôi cân nhắc đến việc thông báo ngay cho người dùng những nguy cơ có thể xảy ra. Họ cũng hiểu rằng chỉ có bản sửa lỗi của nhà cung cấp dịch vụ mới có thể xóa được lịch sử vị trí của người dùng cũng như những dữ liệu khác có liên quan.

Các nhà cung cấp dịch vụ đã cố gắng nhanh chóng vá lỗ hổng này nhưng điều đáng lo ngại là các vấn đề lại xuất hiện. Khoảng 79 vùng vẫn còn bị lỗ hổng và các nhà nghiên cứu cho biết họ không biết liệu các dịch vụ này có được khắc phục hay không, bởi các nhà cung cấp dịch vụ không thông báo cho hai nhà nghiên cứu này bất kỳ thông tin chính thức nào.

Stykas và Gruhn cũng khuyến cáo người dùng cách tránh những lỗ hổng này bao gồm việc xóa càng nhiều dữ liệu khỏi thiết bị ảnh hưởng càng tốt, thay đổi mật khẩu các dịch vụ và sử dụng một mật khẩu mạnh, hoặc chỉ đơn giản là ngưng sử dụng các thiết bị bị ảnh hưởng cho đến khi họ sửa chữa các vấn đề này.

Xuân Dung

TIN CÙNG CHUYÊN MỤC

Lỗ hổng mới trong Plugin WordPress được ...

24/05/2023 08:00:00 58
Một lỗ hổng bảo mật đã được tiết lộ trong plugin WordPress phổ biến Essential Addons cho Elementor c...

Apple ngăn chặn 2 tỷ đô la gian lận trên...

23/05/2023 08:00:00 68
Apple đã thông báo rằng họ đã ngăn chặn hơn 2 tỷ đô la trong các giao dịch có khả năng gian lận và t...

Cảnh báo! Thiết bị Samsung đang bị tấn c...

22/05/2023 08:00:00 73
Cảnh báo! Thiết bị Samsung đang bị tấn cong bởi một lỗ hổng bảo mật mới bị lộ

WebKit bị tấn công: Apple phát hành các ...

19/05/2023 08:00:00 85
Apple hôm thứ Năm đã tung ra các bản cập nhật bảo mật cho iOS, iPadOS, macOS, tvOS, watchOS và trình...

Cập nhật Windows ngay! Bản vá tháng 5 củ...

18/05/2023 09:00:00 82
Microsoft đã tung ra các bản cập nhật Bản vá Thứ Ba cho tháng 5 năm 2023 để giải quyết 38 lỗi bảo mậ...

Kaspersky ngăn chặn gần 50 triệu sự cố n...

17/05/2023 08:00:00 79
Số liệu mới nhất từ công ty an ninh mạng toàn cầu Kaspersky cho thấy đã có 49.042.966 mối đe dọa ngo...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ