صدها سرویس ردیابی GPS، افشاگر اطلاعات کاربران

0
436
صدها سرویس ردیابی GPS، افشاگر اطلاعات کاربران

محققان به‌تازگی موفق به کشف چندین آسیب‌پذیری در سرویس‌های آنلاین مدیریت دستگاه‌های ردیاب موقعیت مکانی شدند. خطر این آسیب‌پذیری‌ها تا حدی است که اطلاعات حساس کاربران آنلاین را در اختیار هکرها قرار می‌دهد.

آسیب‌پذیری‌های مذکور با نام Trackmageddon توسط دو محقق امنیتی  Valengelis Stykas و Michael Gruhn شناسایی شده و تعداد زیادی از دستگاه‌های ردیابی موقعیت تحت مدیریت سرویس‌های GPS را تحت تأثیر خود قرار داده است.

گفتنی است این آسیب‌پذیری‌ها در دستگاه‌هایی مانند ردیاب کودکان، ردیاب ماشین و یا ردیاب حیوانات خانگی است که اطلاعات موقعیت جغرافیایی کاربران را در صورت فعال بودن GPS، آنلاین دنبال و ذخیره می‌کند.

به گفته محققان آسیب‌پذیری‌های شناسایی شده طیف وسیعی از نقص‌های امنیتی از جمله پسوردهای ساده، افشای فولدر، اندپوینت‌های API و ارجاع مستقیم به شی‌ء به‌صورت ناامن یا IDOR را شامل می‌شود.

درواقع با بهره‌برداری از این نقص‌ها، یک هکر و یا شخص ثالث احراز هویت نشده می‌تواند به‌راحتی به اطلاعات شناسایی هر فرد که توسط دستگاه‌های ردیابی موقعیت مکانی جمع‌آوری‌شده دسترسی پیدا کند. از جمله این اطلاعات می‌توان به شماره تلفن‌ها، مدل دستگاه، شماره IMEI و غیره اشاره کرد.

متأسفانه باید گفت حتی در مواردی شخص ثالث تأیید هویت نشده، قادر به دسترسی به تصاویر و صداهای رکورد و آپلود شد از طریق این سرویس‌های ردیابی موقعیت مکانی می‌باشد.

لازم به ذکر است فروشندگان بسیاری در تلاش برای وصله این آسیب‌پذیری‌ها بوده و هنوز حدود ۷۹ دامنه آسیب‌پذیر باقی‌مانده‌اند. برای مشاهده لیست دامنه‌های تحت تأثیر اینجا کلیک کنید.

این دو محقق به کاربران پیشنهاد کرده‌اند برای اجتناب از آسیب‌پذیری‌های مذکور، تا جاییکه ممکن است اطلاعات خود را از دستگاه‌های تحت تأثیر حذف کرده، رمز عبور سرویس‌های ردیابی خود را تغییر دهند.