Quase não há um dia sem nenhum incidente relacionado à privacidade, violação de dados ou divulgação de vulnerabilidade. Acontece que mesmo muitos dos serviços de GPS que usamos diariamente estão cheios de vulnerabilidades múltiplas.
Essas vulnerabilidades, apelidado de Trackmageddon pode permitir o acesso de terceiros não autorizados aos dados de localização de todos os dispositivos de rastreamento de localização gerenciados pelos serviços online vulneráveis.
Os pesquisadores de segurança Vangelis Stykas e Michael Gruhm, que descobriram as falhas, os chamaram coletivamente de Trackmageddon. As falhas estão localizadas em 103 serviços online que tornam milhões de dispositivos vulneráveis. Parece que esses serviços estão executando software de localização de rastreamento vulnerável desenvolvido e licenciado pela ThinkRace, um fabricante indiano de GPS.
Vulnerabilidades do Trackmageddon em detalhes
Como já mencionado, as falhas afetam vários serviços de GPS que coletam a geolocalização de usuários usando dispositivos inteligentes habilitados para GPS, como rastreadores de crianças, rastreadores de carros e rastreadores de animais de estimação. Os pesquisadores relataram que as falhas incluem senhas elementares, pastas expostas, endpoints de API inseguros, entre outras questões.
Caso as falhas sejam exploradas, um terceiro não autorizado pode obter acesso a informações pessoais que são coletadas por dispositivos de rastreamento de localização. Esta informação é pessoalmente identificável e inclui:
- Coordenadas GPS;
- Números de telefone;
- Modelo e tipo de dispositivo;
- Números IMEI;
- Nomes atribuídos personalizados;
- Fotos e gravações de áudio enviadas pelos dispositivos de rastreamento de localização.
sim, você leu corretamente. Até fotos e gravações de áudio correm o risco de serem exploradas.
Isso é o que os pesquisadores escreveram:
Tentamos dar aos fornecedores tempo suficiente para consertar (também responda quanto a esse assunto) enquanto pesamos isso em relação ao risco imediato atual dos usuários. Entendemos que apenas uma correção do fornecedor pode remover o histórico de localização do usuário (e quaisquer outros dados de usuário armazenados para esse assunto) dos serviços ainda afetados, mas nós (e eu, pessoalmente, porque meus dados também estão em um desses sites) julgar o risco dessas vulnerabilidades serem exploradas contra dispositivos de rastreamento de localização ao vivo muito mais alto do que o risco de dados históricos serem expostos.
Leia mais sobre Trackmageddon aqui.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: