Trackmageddon: vulnerabilidades críticas en sistemas de localización GPS
Los investigadores Vangelis Stykas y Michael Gruhn han dado a conocer Trackmageddon, una serie de vulnerabilidades que afectan a los servidores donde se alojan los datos de hasta 103 servicios online de GPS y de localización. Según Gruhn, se verían afectados cerca de 6 millones de dispositivos que ofrecen estas funciones, como localizadores de coches, de mascotas, etc.
Las vulnerabilidades permitirían que un usuario malintencionado pudiera hacerse con la base de datos de dichos servicios, obteniendo así información de otros usuarios como, por ejemplo, datos de localización, modelo y tipo de dispositivo utilizado, números de IMEI, números de teléfono, nombres de contactos de la agenda, imágenes y grabaciones de audio. Según la revista digital CSO, en el caso del servicio www.gps958.com, también sería posible acceder al historial de localizaciones, enviar comandos al dispositivo y activar o desactivar la geolocalización sin necesidad de autentificación.
Los investigadores indican que actualmente son pocos los fabricantes afectados que han corregido sus dominios, por lo que la mayoría siguen siendo vulnerables.
- 02/01/2018 0x0.li/trackmageddon/ Multiple vulnerabilities in the online services of (GPS) location tracking devices
- 02/01/2018 csoonline.com GPS tracking vulnerabilities leave millions of products at risk
- 03/01/2018 redeszone.net/ Trackmageddon, encuentran graves vulnerabilidades en servicios GPS y sistemas de rastreo y seguimiento
- 03/01/2018 scmagazine.com Privacy of location tracking device owners threatened by 'Trackmageddon' flaws
- 03/01/2018 ibtimes.co.uk Trackmageddon: Flaws in hundreds of GPS services risk exposing millions of devices' data to hackers
- 03/01/2018 computerhoy.com Detectadas vulnerabilidades críticas en servicios de localización GPS