Phát hiện nhiều lỗ hổng trên các dịch vụ và thiết bị theo dõi vị trí GPS

www.tuoitre.vn -   09/01/2018 10:00:00 2329

Các nhà nghiên cứu bảo mật đã phát hiện ra nhiều lỗ hổng trong hàng loạt dịch vụ cung cấp theo dõi GPS. Những lỗi bảo mật này cho phép hacker khai thác toàn bộ dữ liệu nhạy cảm của hàng trăm thiết bị theo dõi vị trí trực tuyến GPS dính lỗi bảo mật.

Hàng trăm dịch vụ vị trí GPS để dữ liệu người dùng mở cửa cho tin tặc dễ dàng khai thác

Những lỗ hổng nói trên, gọi là Trackmageddon, được phát hiện bởi hai nhà nghiên cứu an ninh mạng, Vangelis Stykas và Michael Gruhn.

Trackmageddon ảnh hưởng đến các dịch vụ GPS thu thập dữ liệu vị trí địa lý của người dùng từ một loạt các thiết bị thông minh hỗ trợ GPS, bao gồm các thiết bị theo dõi trẻ em, theo dõi xe, theo dõi vật nuôi, với mục đích là giúp chủ sở hữu có thể theo dõi được vị trí của những đối tượng như đã nói trên.

Theo các nhà nghiên cứu, các lỗ hổng này bao gồm mật khẩu dễ đoán (như 123456), thư mục bị phơi sáng, điểm cuối API không an toàn, và các vấn đề tham chiếu đối tượng trực tiếp không an toàn (IDOR).

Hàng trăm dịch vụ vị trí GPS để dữ liệu người dùng mở cửa cho tin tặc dễ dàng khai thác

Bằng cách khai thác các lỗ hổng này, bên thứ ba hoặc hacker không được ủy quyền có thể truy cập vào thông tin nhận dạng cá nhân được thu thập bởi tất cả các thiết bị theo dõi vị trí, bao gồm tọa độ GPS, số điện thoại, mô hình thiết bị và thông tin loại, số IMEI và các thông tin được nhắm đến.

Hơn thế nữa, một số dịch vụ GPS trực tuyến khác, bên thứ ba trái phép cũng có thể truy cập ảnh và bản ghi âm được tải lên bởi thiết bị theo dõi vị trí.

Hai chuyên gia bảo mật nói trên cho biết họ nỗ lực liên lạc với các nhà cung cấp tiềm năng bị ảnh hưởng sau dịch vụ theo dõi bị ảnh hưởng để cảnh báo họ về mức độ nghiêm trọng của các lỗ hổng này.

Theo tổ chức nghiên cứu ThinkRace, một trong những nhà cung cấp toàn cầu lớn nhất các thiết bị theo dõi GPS, cho biết có thể nhà phát triển ban đầu của phần mềm dịch vụ GPS trực tuyến bị lỗ hổng trong khâu cấp phép cho phần mềm.

Mặc dù bốn lĩnh vực của ThinkRace bị dính lỗi hiện tại đã được khắc phục, các hạng mục còn lại vẫn sử dụng các dịch vụ dính lỗi tương tự. Vì nhiều dịch vụ GPS vẫn có thể đang sử dụng các phiên bản cũ của ThinkRace, nên người dùng được khuyến cáo là cập nhật càng sớm càng tốt ngay khi có thông báo từ nhà cung cấp.

Hàng trăm dịch vụ vị trí GPS để dữ liệu người dùng mở cửa cho tin tặc dễ dàng khai thác

"Chúng tôi hiểu rằng chỉ cần bản vá lỗi của nhà cung cấp mới có thể xóa lịch sử vị trí của người dùng (và bất kỳ dữ liệu người dùng nào khác được lưu trữ cho vấn đề đó) từ các dịch vụ GPS bị ảnh hưởng nhưng chúng tôi (và cá nhân tôi vì dữ liệu của tôi cũng nằm trên một trong những trang đó) những lỗ hổng này đang được khai thác đối với các thiết bị theo dõi vị trí trực tiếp cao hơn nhiều so với nguy cơ dữ liệu lịch sử bị phơi bày. "

Trong nhiều trường hợp, các nhà cung cấp đã cố gắng vá các lỗ hổng, nhưng các vấn đề tưởng đã kết thúc lại xuất hiện. Khoảng 79 hạng mục vẫn còn lỗi bảo mật, và các nhà nghiên cứu cho biết họ không biết liệu những dịch vụ này có được khắc phục hay không.

Bạn có thể tìm thấy toàn bộ danh sách các tên miền bị ảnh hưởng trong báo cáo Trackmageddon.

Stykas và Gruhn cũng đề xuất một số gợi ý để người dùng tránh những lỗ hổng này, bao gồm việc xóa càng nhiều dữ liệu khỏi các thiết bị bị ảnh hưởng càng tốt, thay đổi mật khẩu cho các dịch vụ theo dõi và giữ một mật khẩu mạnh, hoặc chỉ ngừng sử dụng các thiết bị bị ảnh hưởng cho đến khi vấn đề được khắc phục hoàn toàn.

Dung Phạm

 

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 142
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 115
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 115
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 101
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 105
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 69
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ