11 Января, 2018

Сотни служб геолокации содержат уязвимости, позволяющие раскрыть данные пользователей

Владимир Безмалый

Улыбайтесь! Вас разыскали! Стоит отметить, что с увеличением количества различного программного обеспечения резко растет количество ошибок в нем. Данные пользователей фактически полностью доступны кому угодно, чем широко пользуются злоумышленники. Разработчики программ все чаще просто не думают о безопасности, ведь это резко удорожает продукт и увеличивает время его разработки. Да и кроме того, необходимо подчеркнуть, что сами пользователи не требуют от разработчиков безопасности. Ведь за это нужно ПЛАТИТЬ! Мало того, при этом резко ухудшится usability. Ведь всем мы понимаем, что «удобство пользователей» и «безопасность» всегда ходят по разные стороны улицы. К чему это приводит? Правильно, к взлому и утечке информации. Но каждый пользователь надеется, что это произойдет с кем-то другим!

На этот раз исследователи безопасности обнаружили множество уязвимостей в сотнях сервисах геолокации, которые могут позволить злоумышленникам получить целый ряд конфиденциальных данных миллионов устройств отслеживания местоположения.

Массовые уязвимости обнаружены исследователями Vangelis Stykas и Michael Gruhn и названы «Trackmageddon».

Trackmageddon затрагивает несколько сервисов, собирающих геолокационные данные пользователей с ряда устройств с поддержкой GPS, включая трекеры для детей, трекеры для животных, автомобильные трекеры, и т.д.

Как отмечают исследователи, уязвимости включают в себя легко угадываемые пароли (), открытые папки, небезопасные API и проблемы Insecure Direct Object References (IDOR)

Используя данные уязвимости, злоумышленник может получить доступ к личной информации, собираемой всеми устройствами отслеживания местоположения, включая GPS-координаты, номера телефонов, модели устройств и логины пользователей. В некоторых онлайн-сервисах можно получить доступ к фотографиям и аудиозаписям, загружаемым устройствами отслеживания местоположения.

По мнению исследователей, один из крупнейших мировых поставщиков устройств GPS-слежения, ThinkRace, возможно изначально был разработчиком и продавцом лицензий программного обеспечения, содержащего уязвимость.

На сегодня около 79 серверов все еще уязвимы:

Какой же вывод можем сделать мы? Большинство поставщиков продолжает работать с уязвимыми сервисами и даже не думает о возможном исправлении. Ведь это дополнительные расходы, да и время. Ну что, как я и говорил в самом начале – проблемы безопасности — это проблемы пользователей, а никак не проблемы разработчиков ПО и устройств. Увы, стоит признать, что пользователей заботит удобство, а разработчиков – получение прибыли. А безопасность? Безопасность не волнует никого!

 

Автор: Владимир Безмалый