بسیاری از سرویس‌های ردیابی GPS، موقعیت مکانی و دیگر داده‌های کاربران را در معرض افشاء قرار می‌دهند

کمیته رکن چهارم – پژوهش‌گران متوجه شدند که بسیاری از سرویس‌های برخط که برای مدیریت دستگاه‌های ردیابی موقعیت مکانی طراحی شده‌اند، تحت تاثیر آسیب‌پذیری‌هایی هستند که به طور بالقوه اطلاعات حساس را در معرض خطر افشاء قرار می‌دهند.

ردیاب‌های حیوان‌های خانگی، وسایل نقلیه، و کودکان و سایر دستگاه‌هایی که دارای قابلیت ردیابی GSM و GPS هستند، به طور معمول از طریق سرویس‌های تخصصی برخط مدیریت می‌شوند.

کارشناسان امنیتی به نام‌های Vangelis Stykas و Michael Gruhn دریافتند که بیش از ۱۰۰ مورد از این سرویس‌ها دارای آسیب‌پذیری‌هایی هستند که می‌توانند به منظور دسترسی به دستگاه و داده‌های شخصیِ کاربران، توسط عاملان مخرب مورد بهره‌برداری قرار بگیرند. این حفره‌های امنیتی که Trackmageddon نام دارند، می‌توانند اطلاعاتی مانند موقعیت مکانی فعلی، سابقه‌ی موقعیت مکانی، مدل و نوع دستگاه، شماره سریال، و شماره‌ تلفن را در اختیار نفوذگران قرار دهند.

برخی از سرویس‌هایی که توسط دستگاه‌هایی که دارای قابلیت‌های ضبط عکس و صوت هستند، مورد استفاده قرار می‌گیرند، می‌توانند پرونده‌های صوتی و عکس‌ها را نیز در معرض خطر قرار دهند. در بعضی موارد، همچنین امکان ارسال دستوراتی به دستگاه به منظور فعال‌سازی یا غیر فعال‌سازی قابلیت‌های خاصی مانند هشدار‌های مربوط به مرز جغرافیایی (geofence)، وجود دارد.

مهاجمان می‌توانند با سوء استفاده از گذرواژه‌های پیش‌فرض (به عنوان مثال ۱۲۳۴۵۶) و آسیب‌پذیری‌های ارجاع مستقیم ناامن (IDOR) که به یک کاربر معتبر اجازه می‌دهند به سادگی با تغییر مقادیر یک پارامتر در URL به حساب‌های کاربران دیگر دسترسی داشته باشد، به اطلاعات دسترسی پیدا کنند. این سرویس‌ها همچنین اطلاعات را از طریق فهرست‌های دایرکتوری، پرونده‌های لاگ، کد منبع، پرونده‌های WSDL، و نقاط انتهایی واسط‌های برنامه‌نویسی که به صورت عمومی در دسترس هستند و امکان دسترسی غیرمجاز را فراهم می‌کنند، افشاء می‌کنند.

این دو پژوهش‌گر بیشتر فروشندگان آسیب‌دیده در ماه‌های نوامبر و دسامبر مطلع کرده‌اند. نُه سرویس اعلام کرده‌اند که این آسیب‌پذیری‌ها را وصله کرده‌اند و یا قول داه‌اند که به زودی وصله‌هایی ارائه بدهند، و به نظر می‌رسد بیش از دوازده وب‌گاه بدون اطلاع‌رسانی به پژوهش‌گران این آسیب پذیری‌ها را برطرف کرده‌اند. با این حال، سایر سرویس‌های ردیابی همچنان آسیب‌پذیر باقی مانده‌اند.

تقریبا ۱۰۰ دامنه تحت تاثیر قرار گرفته‌اند، اما به نظر می‌رسد برخی از این دامنه‌ها به واسطه‌ی یک شرکت واحد عمل می‌کنند. پژوهش‌گران ۳۶ آی‌پی منحصربه‌فرد که از این دامنه‌ها میزبانی می‌کنند و ۴۱ پایگاه داده که این دامنه‌ها به اشتراک می‌گذارند را شناسایی کرده‌اند. آن‌ها تخمین می‌زنند این سرویس‌ها داده‌های مربوط به بیش از ۶٫۳ میلیون دستگاه و بیش از ۳۶۰ مدل دستگاه را در معرض افشاء قرار می‌دهند.

ظاهرا این نرم‌افزار آسیب‌پذیر توسط یک شرکت مستقر در چین به نام ThinkRace تولید شده است، اما در بسیاری از موارد این شرکت روی کارگزارهایی که میزبان سرویس‌های ردیابی هستند، کنترلی ندارد.

Gruhn و Stykas اظهار کردند: «آسیب‌پذیری‌های موجود در محصولات ThinkRace که برخی از آن‌ها به تازگی افشاء شده‌اند، برای اولین بار سال ۲۰۱۵ میلادی توسط یک کارشناس مستقر در نیوزلند که در حال تجزیه‌ و تحلیل دستگاه‌های ردیابی ماشین مبتنی‌بر نرم‌افزار ThinkRace بود، کشف شده‌اند.»

به کاربران سرویس‌های برخط ردیابی که آسیب‌پذیر باقی مانده‌اند، توصیه می‌شود که گذرواژه‌ی خود را تغییر داده و هر تمام اطلاعات حساسی که در حساب کاربری آن‌ها ذخیره شده است را حذف کنند. با این حال این یک راه‌حل جزئی برای این مشکل است و پژوهش‌گران به مردم توصیه می‌کنند تا زمانی که وصله‌ای برای دستگاه‌های آسیب پذیر ارائه نشده‌ند، استفاده از این دستگاه‌ها را متوقف کنند.

منبع : news.asis.io