Moduł GPS służący do lokalizowania urządzeń (bądź występujący jako opcjonalny moduł) pozwala na szybkie, skuteczne i dokładne w naszych warunkach określenie aktualnego położenia. Niestety, jak każda z usług, globalny system pozycjonowania może powodować, że korzystające z niego sprzęty mogą wykazywać poważne luki bezpieczeństwa - niezwykle groźne dla użytkowników.
O większości usług związanych z tą luką raczej nie ma powszechnej wiedzy, jednak producenci urządzeń bazujących na lokalizacji GPS bardzo chętnie z nich korzystają. Są to swego rodzaju bazy danych z zapisami modułów przypisanych do konkretnego sprzętu / użytkowników. Dzięki temu, podmioty tworzące urządzenia nie muszą utrzymywać własnych infrastruktur i w efekcie oszczędzają pieniądze. Niestety, okazuje się, że większość takich baz nie została zabezpieczonych przed potencjalnym atakiem.
Vangelis tix Stykas, ekspert ds. cyberbezpieczeństwa odkrył ową lukę i sporządził dla niej tzw. "proof of concept" - na jego podstawie sprawdzono popularne bazy danych o lokalizacji pod kątem podatności. Okazało się, że większość z wytypowanych usług niestety znajduje się w kręgu takich, które mogą paść ofiarą cyberprzestępców (o ile ci w ogóle wpadną na podobny pomysł co Stykas). Z oczywistych powodów szczegóły ataku są niedostępne i odkrywca prezentuje tylko ogólniki. Firmy, których oprogramowanie jest wadliwe zostały już o tym powiadomione, ale niestety... nie wszystkie zastosowały się do zaleceń eksperta.
Trackmageddon: https://t.co/r5T9EljM53
Vulnerabilities in online services of (GPS) location tracking devices allow unauthorized access to location data.
Unfortunately, we were unable to contact all vendors for fixes.
Still affected users should stop using the services.— mich (@0x6d696368) January 2, 2018
Cyberprzestępca, któremu uda się wykonać taki atak będzie w stanie odczytać aktualną lokalizację urządzenia i bardzo możliwe, że podejrzy także dotyczącą go historię. Ponadto, możliwe jest zidentyfikowanie sprzętu (określenie modelu, poznanie numeru IMEI) i bardzo prawdopodobne, że także wysyłanie komend do modułu.
Eksperci wskazują, że pomimo braku obaw o podatność smartfonów, najpopularniejszych urządzeń z modułami GPS, problem jest poważny. Dotyczy on bardzo wielu innych klas urządzeń - od opasek z zainstalowanym GPS-em, aż po nawet... moduły znajdujące się w samochodach. Co więcej, nie da się tego naprawić poprzez aktualizację oprogramowania po stronie producenta - wymaga to wdrożenia poprawek po stronie usługodawców utrzymujących dane o lokalizacji.
Jak wspomnieliśmy wyżej, apele odkrywcy błędu w wielu przypadkach nie zostały wysłuchane. Bardzo mały odsetek firm "przejął się" luką i wdrożył odpowiednie poprawki. W niektórych przypadkach są one dopiero oczekiwane i bardzo możliwe, że już nawet w następnych dniach pojawią się aktualizacje pozwalające na dalsze, bezpieczne z nich korzystanie.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
