Vulnerabilidad en los rastreadores GPS ponen en riesgo millones de datos de los dispositivos


El ataque Trackmadeddon pone a millones de rastreadores GPS vulnerables en riesgo de exposición de datos.

De acuerdo con una investigación realizada por dos expertos en seguridad realizada por Vangelis Stykas ( @evstykas ) y Michael Gruhn ( @0x6d696368 ), la mayoría de los dispositivos de localización son defectuosos y vulnerables a la explotación.  Existen dispositivos versátiles como los rastreadores de mascotas, los dispositivos de monitoreo de la actividad física y los rastreadores de automóviles que funcionan con las funciones de rastreo GPS y GSM . Los servicios que ofrecen instalaciones de grabación de fotos y audio también están en la lista.

Amenaza

Según sus hallazgos , estos dispositivos son administrados por diferentes servicios en línea que ofrecen dispositivos de localización de seguimiento. Sin embargo, no se puede confiar en estos dispositivos porque la exposición de información confidencial es una posibilidad.

Según se informa, cientos de servicios de GPS son vulnerables, la mayoría usan API abiertas y contraseñas débiles, como 123456. Esta ignorancia ha llevado a una amplia gama de problemas de privacidad, por ejemplo, el seguimiento directo, mientras que los datos registrados están expuestos debido a los directorios abiertos de estos servicios. Los expertos en seguridad identificaron más de 100 servicios vulnerables, mientras que se identificó que los dispositivos podrían ser atacados por ciberdelincuentes para acceder a los datos personales.

Los atacantes necesitan explotar las credenciales predeterminadas de un dispositivo o defectos de referencia de objetos directos inseguros (IDOR) poco protegidos, para acceder a la información personal. Estas características son responsables de permitir el acceso a otras cuentas del usuario al cambiar el valor del parámetro de URL.

Trackmadeddon

Los fallos de seguridad han sido denominados Trackmadeddon. La información expuesta por los dispositivos incluye el historial de ubicación y la ubicación actual, el número de teléfono, el modelo, el tipo y el número IMEI del dispositivo y las grabaciones e imágenes de audio. Además, también es posible activar o desactivar ciertas funciones de un dispositivo (por ejemplo, alertas de geocerca) enviando comandos. Los atacantes también pueden exponer información a través de archivos de registro, listados de directorios, puntos finales API expuestos públicamente, código fuente y archivos WSDL. El software probablemente fue provisto por la firma china ThinkRace.

 

Los investigadores observaron que la mayoría de los dispositivos se identificaron entre noviembre y diciembre, mientras que 9 de los 100 dominios afectados se han corregido los defectos o las soluciones están en marcha y más de 12 sitios web han solucionado los problemas sin informarles. Desafortunadamente, el resto de los dispositivos de rastreo aún son vulnerables.

Impacto

Vale la pena señalar que se encuentra, que la misma empresa está operando algunos de los dominios afectados; 36 IP únicos han sido descubiertos por investigadores que alojan estos dominios. Además, se observó que se están compartiendo 41 bases de datos a través de los IP. Según la investigación, 79 dominios siguen siendo vulnerables, lo que significa que más de 6,3 millones de dispositivos y 360 modelos de dispositivos son vulnerables a la exposición de datos. En muchos casos, se observó que ThinkRace no tiene control sobre los servidores que hospedaban el dispositivo de rastreo.

Los expertos han declarado que no están 100% seguros de haber identificado todos los dominios vulnerables. Gruhn dijo al hablar con Salted Hash: “Tenemos 79 dominios (incluidos los subdominios) que figuran como todavía vulnerables. Pero no podemos eliminar la posibilidad de que haya otros subdominios bajo un dominio vulnerable. Tampoco podemos descartar que haya más sitios web que exhiban las mismas vulnerabilidades “.

Es por eso que han instado a que quien esté usando los servicios de seguimiento en línea debe cambiar la contraseña y eliminar la información confidencial almacenada en la cuenta. También se recomienda que las personas dejen de usar estos dispositivos hasta que se liberen los parches.

La lista de dispositivos fijos y no fijos está disponible aquí.

Vía |hackread

log in

reset password

Back to
log in