Trackmageddon: Múltiples vulnerabilidades en servicios de localización por GPS

Estas vulnerabilidades permitirían a un atacante extraer información sobre la posición, número de teléfono, IMEI del dispositivo y posiblemente otro tipo de información personal sobre los usuarios de estos servicios.

Estas empresas se dedican a almacenar en sus bases de datos información que facilite el rastreo de dispositivos con GPS, como localizadores de niños, mascotas o coches entre otros.

En muchos de los servicios analizados esta información se encuentra muy desprotegida: uso de contraseñas comunes, APIs abiertas que no requieren autenticación, referencias inseguras directas (IDOR), etc.

En total más de 100 servicios de localización por GPS presentaban vulnerabilidades que permitirían a un atacante revelar algún tipo de información sobre sus usuarios. Sin embargo, hasta el momento sólo 4 sitios han corregido estos fallos.

Para saber si su dispositivo está afectado puede consultar la lista de servicios que aún no han sido parcheados: https://0x0.li/trackmageddon/#unfixed