“Trackmageddon” Vulnerabilities Discovered in (GPS) Location Tracking Services

นักวิจัยด้านการรักษาความปลอดภัยสองคนคือ Vangelis Stykas และ Michael Gruhn ได้เผยแพร่รายงานเกี่ยวกับช่องโหว่ที่ชื่อ "Trackmageddon" ซึ่งส่งผลกระทบต่อ GPS และระบบติดตามตำแหน่งหลายรายการ ระบบ GPS เหล่านี้ทำงานภายใต้ฐานข้อมูลที่รวบรวมข้อมูลตำแหน่งทางภูมิศาสตร์จากอุปกรณ์ที่มีการใช้งาน GPS จากที่ต่างๆ เช่น ตัวติดตามสัตว์เลี้ยง, อุปกรณ์ติดตามรถยนต์, อุปกรณ์ติดตามเด็ก และอื่นๆ

Stykas และ Gruhn กล่าวว่าผู้บุกรุกสามารถใช้ช่องโหว่ Trackmageddon ในการดึงข้อมูล เช่น พิกัด GPS, หมายเลขโทรศัพท์, ข้อมูลบนอุปกรณ์ (IMEI หมายเลขซีเรียล ฯลฯ ) และอาจเป็นข้อมูลส่วนบุคคล โดยขึ้นอยู่กับบริการติดตามและการตั้งค่าบนอุปกรณ์ โดยข้อมูลที่รั่วไหลออกมานั้นเกิดมาจากปัญหาตั้งแต่การตั้งรหัสผ่านเริ่มต้นที่คาดเดาได้ง่าย ไปจนถึงปัญหาจากการใช้งาน API ที่ไม่ปลอดภัย (IDOR:Insecure Direct Object Reference)

นักวิจัยทั้ง 2 ใช้เวลาไม่กี่เดือนที่ผ่านมาติดต่อกับผู้ให้บริการที่ได้รับผลกระทบ แต่มีผู้ให้บริการเพียงแค่ 4 รายเท่านั้นที่มีการแก้ไขช่องโหว่ดังกล่าว เนื่องจากได้มีการให้เวลาผู้บริการต่างๆที่ได้รับผลมาระยะเวลาหนึ่งแล้ว จึงได้มีการเปิดเผยรายการของผู้ให้บริการออกมา โดยมีทั้งที่ทำการแก้ไขแล้ว, น่าจะทำการแก้ไขแล้ว และยังไม่ทำการแก้ไข(https://0x0.li/trackmageddon/)

ที่มา : bleepingcomputer

Read more