Los investigadores de seguridad Vangelis Stykas y Michael Gruhn han publicado un informe donde exponen múltiples vulnerabilidades que afectan a servicios de localización de dispositivos por GPS.
Estas vulnerabilidades permitirían a un atacante extraer información sobre la posición, número de teléfono, IMEI del dispositivo y posiblemente otro tipo de información personal sobre los usuarios de estos servicios.
Estas empresas se dedican a almacenar en sus bases de datos información que facilite el rastreo de dispositivos con GPS, como localizadores de niños, mascotas o coches entre otros.
En muchos de los servicios analizados esta información se encuentra muy desprotegida: uso de contraseñas comunes, APIs abiertas que no requieren autenticación, referencias inseguras directas (IDOR), etc.
En total más de 100 servicios de localización por GPS presentaban vulnerabilidades que permitirían a un atacante revelar algún tipo de información sobre sus usuarios. Sin embargo, hasta el momento sólo 4 sitios han corregido estos fallos.
Para saber si su dispositivo está afectado puede consultar la lista de servicios que aún no han sido parcheados: https://0x0.li/trackmageddon/#unfixed
https://0x0.li/trackmageddon/
http://gpsui.net complete take over of all managed tracking devices
Deja un comentario