Cada vez utilizamos más a menudo todo tipo de servicios GPS, especialmente desde nuestros dispositivos móviles. Desde el uso de mapas que nos permiten ir fácilmente de un punto a otro hasta para compartir nuestra ubicación, ya sea en las redes sociales o en clientes de mensajería como WhatsApp o etiquetar nuestras fotos. También son muy populares hoy en día los localizadores, dispositivos que monitorizan constantemente su ubicación y que, después, nos dejan realizar un seguimiento directamente en una plataforma. Lo que no nos imaginamos es que este tipo de servicios puede ser mucho más peligroso de lo que parece si aparecen fallos de seguridad como Trackmageddon.
Hace algunas horas se daba a conocer Trackmageddon, una serie de vulnerabilidades descubiertas por dos investigadores de seguridad en múltiples servicios online de GPS y de localización. Estos servicios GPS y de localización son utilizados en una gran variedad de dispositivos diferentes, como rastreadores de mascotas, de coches, localizadores de menores, sistemas de seguimiento de deportes y cualquier otro dispositivo que cuente con un sistema de localización. La mayoría de estos dispositivos guardan las ubicaciones en una base de datos de manera que pueda ser utilizada por su propio software, por ejemplo, para volcar los datos a un ordenador.
Tal como aseguran los expertos de seguridad, las vulnerabilidades de Trackmageddon pueden ser utilizadas muy fácilmente para extraer todo tipo de información de los servicios afectados por ellas, utilizando tanto las contraseñas por defecto utilizadas en la mayoría de estos servicios, como 123456, como explotando fallos en los elementos IDOR de las bases de datos que permite acceder a la información de otras personas.
Explotando las vulnerabilidades, cualquier usuario podría, además de hacerse con la base de datos, recopilar todo tipo de información, como el IMEI, el número de serie y la MAC del dispositivo afectado, así como información personal del dueño del dispositivo, como sus datos personales y su número de teléfono, según el servicio que se utilice y la configuración del mismo. La forma de extraer los datos varía según los servicios online, por lo que la mejor forma de protegerse de estas vulnerabilidades es, directamente, evitando su uso, al menos hasta que se solucionen las vulnerabilidades.
Cómo comprobar si nuestro localizador o servicio GPS es vulnerable a Trackmageddon
Los expertos de seguridad han trabajado meses analizando servicios y plataformas y reportando los fallos de seguridad a los correspondientes responsables para que los solucionen, sin embargo, de los cientos de servicios de rastreo analizados tan solo 9 han asumido el fallo de seguridad y han lanzado un parche para solucionar estos problemas en el firmware.
Ahora se han encontrado con el dilema de si hacer pública la lista o dar más tiempo a los fabricantes para que solucionen el problema. En condiciones normales se daría más tiempo, pero cuanto más tiempo se dé más información personal van a estar filtrando los usuarios sin saberlo.
Por ello, en el siguiente enlace podemos encontrar una lista completa con todos los servicios GPS que están afectados por estas vulnerabilidades de manera que cualquier usuario pueda saber si su servicio es seguro o, de lo contrario, puede estar filtrando información sin que se sepa, en cuyo caso lo mejor sería dejar de utilizar dichos servicios.
En caso de que estemos utilizando un servicio vulnerable se recomienda, lo primero, cambiar nuestra contraseña del servicio (y de todos los demás lugares donde la utilicemos), así como eliminar de nuestro perfil toda la información personal que pueda ser robada a través de los fallos de seguridad de Trackmageddon.
Fuente:https://www.redeszone.net/2018/01/03/trackmageddon-vulnerabilidades-gps/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad