Hàng trăm dịch vụ theo dõi vị trí GPS của người dùng đang mở cửa cho hacker tấn công

Các chuyên gia nghiên cứu bảo mật đã phát hiện ra nhiều lỗ hổng trong hàng trăm dịch vụ GPS có thể cho phép hacker tấn công khai thác khi để lộ ra toàn bộ các dữ liệu nhạy cảm trên hàng triệu thiết bị theo dõi vị trí trực tuyến được quản lý bởi các dịch vụ GPS này.

Hàng loạt các lỗ hổng được hai nhà nghiên cứu an ninh mạng là Vangelis Stykas và Micheal Gruhn. Họ gọi những lỗi này là Trackmageddon trong báo cáo của mình. Trong đó, họ mô tả chi tiết các vấn đề bảo mật chính mà họ gặp được trong nhiều dịch vụ theo dõi vị trí GPS hiện nay.

Trackmageddon có ảnh hưởng đến nhiều dịch vụ GPS thu thập các dữ liệu vị trí địa lý của người dùng trên một loạt các thiết bị hỗ trợ GPS thông minh. Các thiết bị này bao gồm các thiết bị theo dõi trẻ em, theo dõi xe hơi thông minh, theo dõi vật nuôi nhằm hỗ trợ người dùng giám sát vị trí của con trẻ, vật nuôi và tài sản của họ.

Theo các nhà nghiên cứu thì lỗ hổng bao gồm các mật khẩu dễ đoán như 123456, các thư mục dễ mở, đầu cuối API không an toàn và các vấn đề tham chiếu đối tượng trực tuyến không được bảo mật khác (IDOR).

Bằng cách khai thác những lỗ hổng này, một bên thứ ba nào đó hay hacker hoàn toàn có thể truy cập vào thông tin nhận dạng cá nhân được thu thập bởi tất cả thiết bị theo dõi vị trí dù không được ủy quyền đi chăng nữa. Những thông tin có thể bị thu thập gồm tọa độ GPS, số điện thoại, mẫu thiết bị, thông tin loại thiết bị, số IMEI và các tên được chỉ định.

Hơn thế nữa là trên các dịch vụ trực tuyến, bên thứ ba cũng có thể truy cập trái phép để lấy ảnh và các bản ghi âm được tải lên bởi thiết bị theo vị trí.

Hai nhà bảo mật cho biết rằng họ đã cố gắng liên lạc với các nhà cung cấp dịch vụ bị ảnh hưởng bởi lỗ hổng này để cảnh báo về mức độ nghiêm trọng của các lỗ hổng để họ nhanh chóng khắc phục.

Cũng theo các nhà nghiên cứu thì một trong những nhà cung cấp thiết bị theo dõi GPS hàng đầu thế giới ThinkRace có thể là nhà phát triển ban đầu của phần mềm dịch vụ theo dõi vị trí trực tuyến bị lỗ hổng và cũng là nhà bán giấy phép cho phền mềm này.

Mặc dù 4 vùng bị ảnh hưởng của ThinkRace đã được khắc phục nhưng các vùng còn lại vẫn còn dễ bị tổn thương bởi vẫn đang sử dụng các dịch vụ chứa lỗ hổng tương tự. Vì nhiều dịch vụ vẫn có thể sử dụng các phiên bản cũ của ThinkRace, do đó người dùng cần phải nhanh chóng cập nhật phiên bản mới nhất để bảo vệ mình.

Các nhà nghiên cứu cũng cho biết thêm trong báo cáo rằng họ đã cố gắng cung cấp cho các nhà phát triển đủ thời gian để khắc phục những lỗi này cũng như là phản hồi về vấn đề trong khi chúng tôi cân nhắc đến việc thông báo ngay cho người dùng những nguy cơ có thể xảy ra. Họ cũng hiểu rằng chỉ có bản sửa lỗi của nhà cung cấp dịch vụ mới có thể xóa được lịch sử vị trí của người dùng cũng như những dữ liệu khác có liên quan.

Các nhà cung cấp dịch vụ đã cố gắng nhanh chóng vá lỗ hổng này nhưng điều đáng lo ngại là các vấn đề lại xuất hiện. Khoảng 79 vùng vẫn còn bị lỗ hổng và các nhà nghiên cứu cho biết họ không biết liệu các dịch vụ này có được khắc phục hay không, bởi các nhà cung cấp dịch vụ không thông báo cho hai nhà nghiên cứu này bất kỳ thông tin chính thức nào.

Stykas và Gruhn cũng khuyến cáo người dùng cách tránh những lỗ hổng này bao gồm việc xóa càng nhiều dữ liệu khỏi thiết bị ảnh hưởng càng tốt, thay đổi mật khẩu các dịch vụ và sử dụng một mật khẩu mạnh, hoặc chỉ đơn giản là ngưng sử dụng các thiết bị bị ảnh hưởng cho đến khi họ sửa chữa các vấn đề này.

Xuân Dung