Trackmageddon: vulnerabilidades críticas en sistemas de localización GPS

Los investigadores Vangelis Stykas y Michael Gruhn han dado a conocer Trackmageddon, una serie de vulnerabilidades que afectan a los servidores donde se alojan los datos de hasta 103 servicios online de GPS y de localización. Según Gruhn, se verían afectados cerca de 6 millones de dispositivos que ofrecen estas funciones, como localizadores de coches, de mascotas, etc.

Las vulnerabilidades permitirían que un usuario malintencionado pudiera hacerse con la base de datos de dichos servicios, obteniendo así información de otros usuarios como, por ejemplo, datos de localización, modelo y tipo de dispositivo utilizado, números de IMEI, números de teléfono, nombres de contactos de la agenda, imágenes y grabaciones de audio. Según la revista digital CSO, en el caso del servicio www.gps958.com, también sería posible acceder al historial de localizaciones, enviar comandos al dispositivo y activar o desactivar la geolocalización sin necesidad de autentificación.

Los investigadores indican que actualmente son pocos los fabricantes afectados que han corregido sus dominios, por lo que la mayoría siguen siendo vulnerables.