Seguridad

Trackmageddon: Múltiples vulnerabilidades en servicios de localización por GPS

Los investigadores de seguridad Vangelis Stykas y Michael Gruhn han publicado un informe donde exponen múltiples vulnerabilidades que afectan a servicios de localización de dispositivos por GPS.




Estas vulnerabilidades permitirían a un atacante extraer información sobre la posición, número de teléfono, IMEI del dispositivo y posiblemente otro tipo de información personal sobre los usuarios de estos servicios.

Estas empresas se dedican a almacenar en sus bases de datos información que facilite el rastreo de dispositivos con GPS, como localizadores de niños, mascotas o coches entre otros.

En muchos de los servicios analizados esta información se encuentra muy desprotegida: uso de contraseñas comunes, APIs abiertas que no requieren autenticación, referencias inseguras directas (IDOR), etc.

En total más de 100 servicios de localización por GPS presentaban vulnerabilidades que permitirían a un atacante revelar algún tipo de información sobre sus usuarios. Sin embargo, hasta el momento sólo 4 sitios han corregido estos fallos.

Para saber si su dispositivo está afectado puede consultar la lista de servicios que aún no han sido parcheados: https://0x0.li/trackmageddon/#unfixed



Francisco Salido
fsalido@hispasec.com

Más información:

Multiple vulnerabilities in the online services of (GPS) location tracking devices
https://0x0.li/trackmageddon/

http://gpsui.net complete take over of all managed tracking devices






Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.