Hàng trăm dịch vụ theo dõi vị trí GPS của người dùng đang mở cửa cho hacker tấn công

www.tuoitre.vn -   07/01/2018 03:00:00 2735

Các chuyên gia nghiên cứu bảo mật đã phát hiện ra nhiều lỗ hổng trong hàng trăm dịch vụ GPS có thể cho phép hacker tấn công khai thác khi để lộ ra toàn bộ các dữ liệu nhạy cảm trên hàng triệu thiết bị theo dõi vị trí trực tuyến được quản lý bởi các dịch vụ GPS này.

Hàng trăm dịch vụ theo dõi vị trí GPS của người dùng đang mở cửa cho hacker tấn công

Hàng loạt các lỗ hổng được hai nhà nghiên cứu an ninh mạng là Vangelis Stykas và Micheal Gruhn. Họ gọi những lỗi này là Trackmageddon trong báo cáo của mình. Trong đó, họ mô tả chi tiết các vấn đề bảo mật chính mà họ gặp được trong nhiều dịch vụ theo dõi vị trí GPS hiện nay.

Trackmageddon có ảnh hưởng đến nhiều dịch vụ GPS thu thập các dữ liệu vị trí địa lý của người dùng trên một loạt các thiết bị hỗ trợ GPS thông minh. Các thiết bị này bao gồm các thiết bị theo dõi trẻ em, theo dõi xe hơi thông minh, theo dõi vật nuôi nhằm hỗ trợ người dùng giám sát vị trí của con trẻ, vật nuôi và tài sản của họ.

Theo các nhà nghiên cứu thì lỗ hổng bao gồm các mật khẩu dễ đoán như 123456, các thư mục dễ mở, đầu cuối API không an toàn và các vấn đề tham chiếu đối tượng trực tuyến không được bảo mật khác (IDOR).

Bằng cách khai thác những lỗ hổng này, một bên thứ ba nào đó hay hacker hoàn toàn có thể truy cập vào thông tin nhận dạng cá nhân được thu thập bởi tất cả thiết bị theo dõi vị trí dù không được ủy quyền đi chăng nữa. Những thông tin có thể bị thu thập gồm tọa độ GPS, số điện thoại, mẫu thiết bị, thông tin loại thiết bị, số IMEI và các tên được chỉ định.

Hàng trăm dịch vụ theo dõi vị trí GPS của người dùng đang mở cửa cho hacker tấn công

Hơn thế nữa là trên các dịch vụ trực tuyến, bên thứ ba cũng có thể truy cập trái phép để lấy ảnh và các bản ghi âm được tải lên bởi thiết bị theo vị trí.

Hai nhà bảo mật cho biết rằng họ đã cố gắng liên lạc với các nhà cung cấp dịch vụ bị ảnh hưởng bởi lỗ hổng này để cảnh báo về mức độ nghiêm trọng của các lỗ hổng để họ nhanh chóng khắc phục.

Cũng theo các nhà nghiên cứu thì một trong những nhà cung cấp thiết bị theo dõi GPS hàng đầu thế giới ThinkRace có thể là nhà phát triển ban đầu của phần mềm dịch vụ theo dõi vị trí trực tuyến bị lỗ hổng và cũng là nhà bán giấy phép cho phền mềm này.

Mặc dù 4 vùng bị ảnh hưởng của ThinkRace đã được khắc phục nhưng các vùng còn lại vẫn còn dễ bị tổn thương bởi vẫn đang sử dụng các dịch vụ chứa lỗ hổng tương tự. Vì nhiều dịch vụ vẫn có thể sử dụng các phiên bản cũ của ThinkRace, do đó người dùng cần phải nhanh chóng cập nhật phiên bản mới nhất để bảo vệ mình.

Các nhà nghiên cứu cũng cho biết thêm trong báo cáo rằng họ đã cố gắng cung cấp cho các nhà phát triển đủ thời gian để khắc phục những lỗi này cũng như là phản hồi về vấn đề trong khi chúng tôi cân nhắc đến việc thông báo ngay cho người dùng những nguy cơ có thể xảy ra. Họ cũng hiểu rằng chỉ có bản sửa lỗi của nhà cung cấp dịch vụ mới có thể xóa được lịch sử vị trí của người dùng cũng như những dữ liệu khác có liên quan.

Các nhà cung cấp dịch vụ đã cố gắng nhanh chóng vá lỗ hổng này nhưng điều đáng lo ngại là các vấn đề lại xuất hiện. Khoảng 79 vùng vẫn còn bị lỗ hổng và các nhà nghiên cứu cho biết họ không biết liệu các dịch vụ này có được khắc phục hay không, bởi các nhà cung cấp dịch vụ không thông báo cho hai nhà nghiên cứu này bất kỳ thông tin chính thức nào.

Stykas và Gruhn cũng khuyến cáo người dùng cách tránh những lỗ hổng này bao gồm việc xóa càng nhiều dữ liệu khỏi thiết bị ảnh hưởng càng tốt, thay đổi mật khẩu các dịch vụ và sử dụng một mật khẩu mạnh, hoặc chỉ đơn giản là ngưng sử dụng các thiết bị bị ảnh hưởng cho đến khi họ sửa chữa các vấn đề này.

Xuân Dung

TIN CÙNG CHUYÊN MỤC

Kaspersky: Botnet được rao bán với giá c...

16/07/2024 02:00:00 15
Các chuyên gia tại Kaspersky Digital Footprint đã phân tích hành vi rao bán botnet trên các trang da...

Kaspersky hướng dẫn cách hạn chế rủi ro ...

05/07/2024 02:00:00 536
Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng ...

Kaspersky nhận định tình trạng lây nhiễm...

01/07/2024 02:00:00 1.112
Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã t...

TeamViewer phát hiện vi phạm bảo mật tro...

28/06/2024 08:00:00 994
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ ...

Lỗi thanh taskbar phát sinh từ các bản c...

28/06/2024 12:00:00 95
Theo xác nhận từ Microsoft và tài liệu chính thức, khách hàng bị ảnh hưởng không thể tương tác với t...

Apple vá lỗ hổng Bluetooth của AirPods c...

27/06/2024 08:00:00 940
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào t...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ