3

Poważny błąd w usługach GPS. Dane użytkowników narażone na wycieki

Moduł GPS służący do lokalizowania urządzeń (bądź występujący jako opcjonalny moduł) pozwala na szybkie, skuteczne i dokładne w naszych warunkach określenie aktualnego położenia. Niestety, jak każda z usług, globalny system pozycjonowania może powodować, że korzystające z niego sprzęty mogą wykazywać poważne luki bezpieczeństwa - niezwykle groźne dla użytkowników.

O większości usług związanych z tą luką raczej nie ma powszechnej wiedzy, jednak producenci urządzeń bazujących na lokalizacji GPS bardzo chętnie z nich korzystają. Są to swego rodzaju bazy danych z zapisami modułów przypisanych do konkretnego sprzętu / użytkowników. Dzięki temu, podmioty tworzące urządzenia nie muszą utrzymywać własnych infrastruktur i w efekcie oszczędzają pieniądze. Niestety, okazuje się, że większość takich baz nie została zabezpieczonych przed potencjalnym atakiem.

Vangelis tix Stykas, ekspert ds. cyberbezpieczeństwa odkrył ową lukę i sporządził dla niej tzw. „proof of concept” – na jego podstawie sprawdzono popularne bazy danych o lokalizacji pod kątem podatności. Okazało się, że większość z wytypowanych usług niestety znajduje się w kręgu takich, które mogą paść ofiarą cyberprzestępców (o ile ci w ogóle wpadną na podobny pomysł co Stykas). Z oczywistych powodów szczegóły ataku są niedostępne i odkrywca prezentuje tylko ogólniki. Firmy, których oprogramowanie jest wadliwe zostały już o tym powiadomione, ale niestety… nie wszystkie zastosowały się do zaleceń eksperta.

Cyberprzestępca, któremu uda się wykonać taki atak będzie w stanie odczytać aktualną lokalizację urządzenia i bardzo możliwe, że podejrzy także dotyczącą go historię. Ponadto, możliwe jest zidentyfikowanie sprzętu (określenie modelu, poznanie numeru IMEI) i bardzo prawdopodobne, że także wysyłanie komend do modułu.

Kto jest zagrożony? Użytkownicy smartfonów mogą być raczej spokojni, gorzej jest ze specyficznymi urządzeniami korzystającymi z modułu GPS

Eksperci wskazują, że pomimo braku obaw o podatność smartfonów, najpopularniejszych urządzeń z modułami GPS, problem jest poważny. Dotyczy on bardzo wielu innych klas urządzeń – od opasek z zainstalowanym GPS-em, aż po nawet… moduły znajdujące się w samochodach. Co więcej, nie da się tego naprawić poprzez aktualizację oprogramowania po stronie producenta – wymaga to wdrożenia poprawek po stronie usługodawców utrzymujących dane o lokalizacji.

Jak wspomnieliśmy wyżej, apele odkrywcy błędu w wielu przypadkach nie zostały wysłuchane. Bardzo mały odsetek firm „przejął się” luką i wdrożył odpowiednie poprawki. W niektórych przypadkach są one dopiero oczekiwane i bardzo możliwe, że już nawet w następnych dniach pojawią się aktualizacje pozwalające na dalsze, bezpieczne z nich korzystanie.

  • Tomek Kańka

    Czy ktoś mógłby ten artykuł przetłumaczyć na polski? Drogi autorze: nie rozumiem większości zdań, które napisałeś. Przeczytałem 2 razy, zatrzymując się po każdej kropce i zastanawiając, co miałeś na myśli. Chyba się domyślam, ale ja nie chcę się domyślać!

  • Łukasz

    To nie GPS ma lukę, tylko urządzenia, które gromadzą w swojej pamięci historię lokalizacji i wysyłają ją do operatorów usług lokalizacji.

  • wewe

    czyli gugle i apple i inni to cyberprzestępcy, ale ci „dobrzy” bo zbierają to wszystko i jest ok!, jedynie ktoś nieokreślony, gdy podejrzy gdzie byłem staje się niebezpieczny?
    bełkot: nie po to nam sprzedają technologie, byśmy byli niezależni i ot wsio, tyle że jak z aferą z intelem: nagle ktoś poza „uprawnionymi” korporacjami i agencjami zagląda w ten rewir i straszna afera!