Bezpieczeństwo w sieci

Poważny błąd w usługach GPS. Dane użytkowników narażone na wycieki

Jakub Szczęsny
Poważny błąd w usługach GPS. Dane użytkowników narażone na wycieki
3

Moduł GPS służący do lokalizowania urządzeń (bądź występujący jako opcjonalny moduł) pozwala na szybkie, skuteczne i dokładne w naszych warunkach określenie aktualnego położenia. Niestety, jak każda z usług, globalny system pozycjonowania może powodować, że korzystające z niego sprzęty mogą wykazywać poważne luki bezpieczeństwa - niezwykle groźne dla użytkowników.

O większości usług związanych z tą luką raczej nie ma powszechnej wiedzy, jednak producenci urządzeń bazujących na lokalizacji GPS bardzo chętnie z nich korzystają. Są to swego rodzaju bazy danych z zapisami modułów przypisanych do konkretnego sprzętu / użytkowników. Dzięki temu, podmioty tworzące urządzenia nie muszą utrzymywać własnych infrastruktur i w efekcie oszczędzają pieniądze. Niestety, okazuje się, że większość takich baz nie została zabezpieczonych przed potencjalnym atakiem.

Vangelis tix Stykas, ekspert ds. cyberbezpieczeństwa odkrył ową lukę i sporządził dla niej tzw. "proof of concept" - na jego podstawie sprawdzono popularne bazy danych o lokalizacji pod kątem podatności. Okazało się, że większość z wytypowanych usług niestety znajduje się w kręgu takich, które mogą paść ofiarą cyberprzestępców (o ile ci w ogóle wpadną na podobny pomysł co Stykas). Z oczywistych powodów szczegóły ataku są niedostępne i odkrywca prezentuje tylko ogólniki. Firmy, których oprogramowanie jest wadliwe zostały już o tym powiadomione, ale niestety... nie wszystkie zastosowały się do zaleceń eksperta.

O większości usług związanych z tą luką raczej nie ma powszechnej wiedzy, jednak producenci urządzeń bazujących na lokalizacji GPS bardzo chętnie z nich korzystają. Są to swego rodzaju bazy danych z zapisami modułów przypisanych do konkretnego sprzętu / użytkowników. Dzięki temu, podmioty tworzące urządzenia nie muszą utrzymywać własnych infrastruktur i w efekcie oszczędzają pieniądze. Niestety, okazuje się, że większość takich baz nie została zabezpieczonych przed potencjalnym atakiem.

Vangelis tix Stykas, ekspert ds. cyberbezpieczeństwa odkrył ową lukę i sporządził dla niej tzw. "proof of concept" - na jego podstawie sprawdzono popularne bazy danych o lokalizacji pod kątem podatności. Okazało się, że większość z wytypowanych usług niestety znajduje się w kręgu takich, które mogą paść ofiarą cyberprzestępców (o ile ci w ogóle wpadną na podobny pomysł co Stykas). Z oczywistych powodów szczegóły ataku są niedostępne i odkrywca prezentuje tylko ogólniki. Firmy, których oprogramowanie jest wadliwe zostały już o tym powiadomione, ale niestety... nie wszystkie zastosowały się do zaleceń eksperta.

Cyberprzestępca, któremu uda się wykonać taki atak będzie w stanie odczytać aktualną lokalizację urządzenia i bardzo możliwe, że podejrzy także dotyczącą go historię. Ponadto, możliwe jest zidentyfikowanie sprzętu (określenie modelu, poznanie numeru IMEI) i bardzo prawdopodobne, że także wysyłanie komend do modułu.

Kto jest zagrożony? Użytkownicy smartfonów mogą być raczej spokojni, gorzej jest ze specyficznymi urządzeniami korzystającymi z modułu GPS

Eksperci wskazują, że pomimo braku obaw o podatność smartfonów, najpopularniejszych urządzeń z modułami GPS, problem jest poważny. Dotyczy on bardzo wielu innych klas urządzeń - od opasek z zainstalowanym GPS-em, aż po nawet... moduły znajdujące się w samochodach. Co więcej, nie da się tego naprawić poprzez aktualizację oprogramowania po stronie producenta - wymaga to wdrożenia poprawek po stronie usługodawców utrzymujących dane o lokalizacji.

Jak wspomnieliśmy wyżej, apele odkrywcy błędu w wielu przypadkach nie zostały wysłuchane. Bardzo mały odsetek firm "przejął się" luką i wdrożył odpowiednie poprawki. W niektórych przypadkach są one dopiero oczekiwane i bardzo możliwe, że już nawet w następnych dniach pojawią się aktualizacje pozwalające na dalsze, bezpieczne z nich korzystanie.

Cyberprzestępca, któremu uda się wykonać taki atak będzie w stanie odczytać aktualną lokalizację urządzenia i bardzo możliwe, że podejrzy także dotyczącą go historię. Ponadto, możliwe jest zidentyfikowanie sprzętu (określenie modelu, poznanie numeru IMEI) i bardzo prawdopodobne, że także wysyłanie komend do modułu.

Kto jest zagrożony? Użytkownicy smartfonów mogą być raczej spokojni, gorzej jest ze specyficznymi urządzeniami korzystającymi z modułu GPS

Eksperci wskazują, że pomimo braku obaw o podatność smartfonów, najpopularniejszych urządzeń z modułami GPS, problem jest poważny. Dotyczy on bardzo wielu innych klas urządzeń - od opasek z zainstalowanym GPS-em, aż po nawet... moduły znajdujące się w samochodach. Co więcej, nie da się tego naprawić poprzez aktualizację oprogramowania po stronie producenta - wymaga to wdrożenia poprawek po stronie usługodawców utrzymujących dane o lokalizacji.

Jak wspomnieliśmy wyżej, apele odkrywcy błędu w wielu przypadkach nie zostały wysłuchane. Bardzo mały odsetek firm "przejął się" luką i wdrożył odpowiednie poprawki. W niektórych przypadkach są one dopiero oczekiwane i bardzo możliwe, że już nawet w następnych dniach pojawią się aktualizacje pozwalające na dalsze, bezpieczne z nich korzystanie.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu