Phát hiện nhiều lỗ hổng trên các dịch vụ và thiết bị theo dõi vị trí GPS

Các nhà nghiên cứu bảo mật đã phát hiện ra nhiều lỗ hổng trong hàng loạt dịch vụ cung cấp theo dõi GPS. Những lỗi bảo mật này cho phép hacker khai thác toàn bộ dữ liệu nhạy cảm của hàng trăm thiết bị theo dõi vị trí trực tuyến GPS dính lỗi bảo mật.

Những lỗ hổng nói trên, gọi là Trackmageddon, được phát hiện bởi hai nhà nghiên cứu an ninh mạng, Vangelis Stykas và Michael Gruhn.

Trackmageddon ảnh hưởng đến các dịch vụ GPS thu thập dữ liệu vị trí địa lý của người dùng từ một loạt các thiết bị thông minh hỗ trợ GPS, bao gồm các thiết bị theo dõi trẻ em, theo dõi xe, theo dõi vật nuôi, với mục đích là giúp chủ sở hữu có thể theo dõi được vị trí của những đối tượng như đã nói trên.

Theo các nhà nghiên cứu, các lỗ hổng này bao gồm mật khẩu dễ đoán (như 123456), thư mục bị phơi sáng, điểm cuối API không an toàn, và các vấn đề tham chiếu đối tượng trực tiếp không an toàn (IDOR).

Bằng cách khai thác các lỗ hổng này, bên thứ ba hoặc hacker không được ủy quyền có thể truy cập vào thông tin nhận dạng cá nhân được thu thập bởi tất cả các thiết bị theo dõi vị trí, bao gồm tọa độ GPS, số điện thoại, mô hình thiết bị và thông tin loại, số IMEI và các thông tin được nhắm đến.

Hơn thế nữa, một số dịch vụ GPS trực tuyến khác, bên thứ ba trái phép cũng có thể truy cập ảnh và bản ghi âm được tải lên bởi thiết bị theo dõi vị trí.

Hai chuyên gia bảo mật nói trên cho biết họ nỗ lực liên lạc với các nhà cung cấp tiềm năng bị ảnh hưởng sau dịch vụ theo dõi bị ảnh hưởng để cảnh báo họ về mức độ nghiêm trọng của các lỗ hổng này.

Theo tổ chức nghiên cứu ThinkRace, một trong những nhà cung cấp toàn cầu lớn nhất các thiết bị theo dõi GPS, cho biết có thể nhà phát triển ban đầu của phần mềm dịch vụ GPS trực tuyến bị lỗ hổng trong khâu cấp phép cho phần mềm.

Mặc dù bốn lĩnh vực của ThinkRace bị dính lỗi hiện tại đã được khắc phục, các hạng mục còn lại vẫn sử dụng các dịch vụ dính lỗi tương tự. Vì nhiều dịch vụ GPS vẫn có thể đang sử dụng các phiên bản cũ của ThinkRace, nên người dùng được khuyến cáo là cập nhật càng sớm càng tốt ngay khi có thông báo từ nhà cung cấp.

"Chúng tôi hiểu rằng chỉ cần bản vá lỗi của nhà cung cấp mới có thể xóa lịch sử vị trí của người dùng (và bất kỳ dữ liệu người dùng nào khác được lưu trữ cho vấn đề đó) từ các dịch vụ GPS bị ảnh hưởng nhưng chúng tôi (và cá nhân tôi vì dữ liệu của tôi cũng nằm trên một trong những trang đó) những lỗ hổng này đang được khai thác đối với các thiết bị theo dõi vị trí trực tiếp cao hơn nhiều so với nguy cơ dữ liệu lịch sử bị phơi bày. "

Trong nhiều trường hợp, các nhà cung cấp đã cố gắng vá các lỗ hổng, nhưng các vấn đề tưởng đã kết thúc lại xuất hiện. Khoảng 79 hạng mục vẫn còn lỗi bảo mật, và các nhà nghiên cứu cho biết họ không biết liệu những dịch vụ này có được khắc phục hay không.

Bạn có thể tìm thấy toàn bộ danh sách các tên miền bị ảnh hưởng trong báo cáo Trackmageddon.

Stykas và Gruhn cũng đề xuất một số gợi ý để người dùng tránh những lỗ hổng này, bao gồm việc xóa càng nhiều dữ liệu khỏi các thiết bị bị ảnh hưởng càng tốt, thay đổi mật khẩu cho các dịch vụ theo dõi và giữ một mật khẩu mạnh, hoặc chỉ ngừng sử dụng các thiết bị bị ảnh hưởng cho đến khi vấn đề được khắc phục hoàn toàn.

Dung Phạm