内页banner

GPS定位服务被爆漏洞,隐私信息如何保护?

2020-11-27 19:10:09

研究人员在很多监管位置跟踪设备的在线服务网站上发现存在漏洞,可导致个人隐私信息泄露。

Trackmageddon漏洞泄露用户信息

这两位研究人员认为,攻击者可通过利用他们所收集的漏洞,来收集GPS跟踪服务用户的地理位置数据。

这一系列漏洞中,从易猜测的默认密码(比如123456)到文件夹泄露漏洞,从不安全的API端点到不安全的直接对象引用(IDOR)漏洞,涉及范围甚广。利用直接对象引用(IDOR)漏洞,认证用户仅仅改变下URL中参数,便能访问其他用户的账号。

目录列表、日志文件、源代码、WSDL文件以及公开暴露的API端点(允许未经身份验证的访问),都可导致信息泄露。

两位研究人员表示,攻击者可利用Trackmageddon漏洞提取GPS坐标、电话号码、设备数据(IMEI、序列号和MAC地址等)等数据。有的跟踪服务和设备配置还可能会泄露个人数据。比如,对于具备照片和音频录制功能的设备,它们使用的某些服务可能会泄露照片和音频文件。某些情况下,这些服务还会给设备发送命令,来激活或停用某些功能(比如地理围栏警报)。

漏洞涉及100多个域名

大概有100个域名受到影响,但其中一些似乎由同一家公司经营。研究人员已经确定了36个独立IP和这些网站共享的41个数据库。研究人员估计,这些服务所泄露的数据,涉及了630多万个设备和360多个设备型号。

在过去几个月里,这两位研究人员一直努力同受影响的跟踪服务提供商进行联系,但收效甚微。其中只有九家提供商确认漏洞存在,或承诺立即修复漏洞;十来家网站似乎在没有通知研究员的情况下修复了漏洞。剩下的供应商,依旧未做响应。

检查你的设备是否存在漏洞

研究员已发布了服务提供商的清单,告知了哪些提供商已经或可能已经修复了漏洞,哪些还没有,以及哪些设备受到了影响。

研究人员认为,大多数存在漏洞的跟踪服务,都有运行深圳市尚锐科技(ThinkRace)一款易受攻击的跟踪定位软件,但多数情况下,ThinkRace并没有控制运行追踪服务的服务器。Stykas和Gruhn表示,他们已将发现的问题告知了ThinkRace团队,该软件供应商已经发布了修复补丁。

Gruhn和Stykas指出,2015年,新西兰专家在对依赖ThinkRace软件的汽车追踪和锁车服务进行分析时,首次发现了ThinkRace产品中存在的漏洞(其中可能包括了现在披露的一些漏洞)。