「Trackmageddon」漏洞影響100+個GPS和定位跟蹤服務

近日，名為Vangelis Stykas和Michael Gruhn的兩名安全研究人員發布了一份安全報告，詳細闡述了一系列被他們命名為「Trackmageddon」的漏洞細節，據悉，這些安全漏洞會影響一些GPS和定位跟蹤服務。

受到影響的這些GPS跟蹤服務相當於一個基礎資料庫，其中存儲著從智能GPS設備中收集到的地理位置，這些智能GPS設備包括寵物追蹤器、汽車追蹤器、兒童跟蹤器以及其他「[insert_name]追蹤器」產品。

數據是以設備為單位收集的，並存儲在資料庫中。產品製造商利用這些服務作為其智能設備的插入式解決方案，使其能夠為他們產品的軟體套件提供GPS跟蹤功能。

「Trackmageddon」漏洞泄漏用戶信息

兩位研究人員認為，攻擊者可以利用他們發現的漏洞集合從用戶的這些服務中收集其地理位置數據。而他們發現的漏洞範圍從「簡單易破解的默認密碼」到「暴露的文件夾」，從「不安全的API端點」到「不安全的直接對象引用（IDOR）漏洞」。

Stykas和Gruhn表示，攻擊者可以使用「Trackmageddon」漏洞提取用戶的GPS坐標、電話號碼、設備數據（包括IMEI、序列號以及MAC地址等）以及其他可能存在的個人數據（這主要取決於跟蹤服務和設備的具體配置）。

100多個跟蹤服務無法識別和修補漏洞

在過去的幾個月里，這兩名研究人員一直在努力接觸受影響的跟蹤服務，但收效甚微，因為只有四家公司實施了修復措施來防止數據泄露。在很多情況下，這些追蹤服務在其網站上沒有留下任何聯繫信息，這就使得漏洞信息披露過程變得幾乎難以實現。

該研究小組表示，在考慮披露「Trackmageddon」漏洞時，他們面臨非常難以抉擇的道德困境。一般情況下，他們會給相關企業更多的時間來解決這些安全問題，但是最終他們選擇公開自己的研究成果，因為這些服務會泄漏非常敏感的用戶信息，如果用戶了解這一情況會立即採取行動，禁用相關服務、修改相關設置或移除相關數據來保障自身安全。

研究人員表示，移除數據的具體方式因設備和跟蹤服務不同而存在差異，但是對於初學者而言，可以選擇停止使用受影響的設備，如此跟蹤服務將停止泄漏最近的信息。

自我檢測方式

此外，研究人員還發布了一份關於「已修復（或可能已經修復）該安全漏洞」的服務列表，以及一份「仍然易受影響的」服務列表。其中已經修復漏洞的在線服務如下所示：

https://www.one2trackgps.com （修復日期：2017-11-27）nhttp://kiddo-track.com（修復日期：2017-11-27）nhttp://www.amber360.com （修復日期：2017-11-27）nhttp://tr.3g-elec.com （修復日期：2017-12-18，子域已移除）n

仍然易受影響的在線服務列表：

http://www.nikkogps.com（2017-11-30域名已過期）nhttp://www.igps.com.my（API 返回錯誤）nhttp://app.gpsyeah.com （僅API訪問受限）nhttp://gps.nuoduncar.com （整個頁面返回錯誤代碼500）nhttp://hytwuliu.cn （伺服器反應超時）nhttp://www.tourrun.net （伺服器反應超時）nhttp://vnetgps.net （API似乎只返回空數據）nhttp://www.999gpstracker.com （API 返回錯誤）nhttp://www.trackerghana.com（API返回錯誤）nhttp://www.suntrackgps.com （API返回錯誤）nhttp://www.sledovanivozidel.eu （API返回錯誤）nhttp://www.response1gps.com （API返回錯誤）nhttp://www.inosiongps.com （API返回錯誤）nhttp://www.carzongps.com（API返回錯誤）nhttp://kids.topwatchhk.com （已修復）n

需要特別指出的是，雖然有幾個在線服務已經不再受我們發布的漏洞概念驗證（Poc）代碼的影響，但是由於我們自始至終未曾收到這些供應商關於他們已經修復了這些安全問題的通知，所以我們認為，這些服務可能仍然存在被攻擊的危險。

未修復的在線服務列表：

http://www.gps958.comnhttp://m.999gps.netnhttp://www.techmadewatch.eunhttp://www.jimigps.netnhttp://www.9559559.comnhttp://www.goicar.netnhttp://www.tuqianggps.comnhttp://vitrigps.vnnhttp://www.coogps.comnhttp://greatwill.gpspingtai.netnhttp://www.cheweibing.cnnhttp://car.iotts.netnhttp://carm.gpscar.cnnhttp://watch.anyixun.com.cnnhttp://www.007hwz.comnhttp://www.thirdfang.comnhttp://www.wnxgps.cnnhttp://binding.gpsyeah.netnhttp://chile.kunhigps.clnhttp://portal.dhifinder.comnhttp://www.bizgps.netnhttp://www.gpsmarvel.comnhttp://www.mygps.com.mynhttp://www.mygpslogin.netnhttp://www.packet-v.comnhttp://login.gpscamp.comnhttp://www.tuqianggps.netnhttp://tuqianggps.netnhttp://www.dyegoo.netnhttp://tracker.gps688.comnhttp://www.aichache.cnnhttp://gtrack3g.comnhttp://www.ciagps.com.twnhttp://www.fordonsparning.senhttp://www.gm63gps.comnhttp://yati.netnhttp://www.mytracker.mynhttp://www.istartracker.comnhttp://www.twogps.comnhttp://www.gpsyue.comnhttp://www.xmsyhy.comnhttp://www.icaroo.comnhttp://mootrack.netnhttp://spaceeyegps.comnhttp://www.freebirdsgroup.comnhttp://www.gpsmitramandiri.comnhttp://www.silvertrackersgps.comnhttp://www.totalsolutionsgps.comnhttp://567gps.comnhttp://gps.tosi.vnnhttp://gps.transport-duras.comnhttp://thietbigps.netnhttp://mygps.co.idnhttp://www.gpsuser.netnhttp://www.mgoogps.comnhttp://www.gpscar.cnnhttp://www.aichache.netnhttp://www.gpsline.cnnhttp://2.tkstargps.netnhttp://ephytrack.comnhttp://www.squantogps.comnhttp://www.tkgps.cnnhttp://vip.hustech.cnnhttp://www.blowgps.comnhttp://www.zjtrack.comnhttp://fbgpstracker.comnhttp://gps.gpsyi.comnhttp://www.crestgps.comnhttp://www.spstrackers.comnhttp://en.gps18.comnhttp://en.gpsxitong.comnhttp://gps18.comnhttp://en2.gps18.comnhttp://ry.gps18.comnhttp://www.ulocate.senhttp://classic.gpsyeah.comnhttp://www.gpsyeahsupport.topnhttp://gpsui.netnhttp://vmui.netn

安全建議

研究人員認為，目前大多數的GPS跟蹤服務仍然易受此次漏洞影響，相關用戶可以通過以下安全建議保障自身安全：

1. 更改在線服務的密碼

這些服務的默認密碼好像是123456，即便是你的設備並未受到此次漏洞影響，使用默認的密碼也難以保障你日後的安全。對於http://gpsui.net而言，你可能無法修改密碼，因為該服務的密碼似乎已經被硬編碼到了跟蹤設備中。但是，對於其他服務而言，設置一個強大的密碼總比123456要安全得多！

2. 停止使用仍受影響的設備

只要管理你設備的在線服務仍然是脆弱的，那麼修改密碼也於事無補，而且現在不幸的是，除了停止使用受影響的設備外，我們沒有其他更有效地方式來保護自己。

雖然你的位置記錄仍然可以通過易受攻擊的在線服務公開訪問，除非該安全問題徹底解決、服務下線或是數據被移除。但是，通過停止使用受影響的設備，你可以防止更多的個人數據泄漏；你的活動位置受到監控；你的位置跟蹤設備的其他功能被濫用等。

如果你正在使用OBD GPS追蹤器來跟蹤自己的汽車，並通過易受攻擊的在線服務進行管理，我們建議你立即將其從汽車上移除下來並停止使用。

3. 從仍然脆弱的在線服務中移除儘可能多的數據

如果你對自己的設備進行了個性化設置，例如給它設置一個自定義名稱（如你的汽車品牌），或通過在線服務分配的電話號碼，我們建議您儘快更改和／或刪除這些信息。雖然位置記錄仍然存儲在網站上，但是其中卻沒有關於分配給設備的姓名或電話號碼等歷史記錄。這樣的話，你至少能夠從仍受影響的在線服務中刪除一些隱私信息。

如果您的設備是通過http://gpsui.net或http://vmui.net進行管理的，那麼您的位置記錄僅會存儲7天。因此，只要你在7天內不使用該設備就能夠保證將自己的位置記錄從在線服務中清除。但是，最新的位置數據仍然能夠查詢到，因此，我們建議您可以將設備從敏感的位置移動到不會威脅您隱私的地方，例如將其移動到一個公共停車場再重新激活設備。如此一來，7天後唯一存在的信息就是公共停車場的位置。

本文翻譯自：https://www.bleepingcomputer.com/news/security/-trackmageddon-vulnerabilities-discovered-in-gps-location-tracking-services/，如若轉載，請註明原文地址： http://www.4hou.com/info/news/9722.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：