Muitos serviços de localização de GPS e localização são vulneráveis a uma série de falhas de segurança que podem expor informações pessoalmente identificáveis, advertiram dois pesquisadores de segurança.
Vangelis Stykas e Michael Gruhn descrevem a série de falhas como 'trackmagedden' em um relatório sobre os principais problemas de segurança que encontraram em muitos serviços de rastreamento GPS.
Esses serviços são usados para colher dados de geolocalização de uma variedade de dispositivos conectados, incluindo rastreadores de crianças, rastreadores de carros e rastreadores de animais de estimação, para permitir que seus usuários acompanhem o local onde estão.
Os pesquisadores alertam para que as falhas de segurança em vários desses serviços possam ser exploradas, permitindo que os atacantes roubem dados de localização geográfica das pessoas que usam esses serviços.
"Encontramos vulnerabilidades nos serviços on-line de dispositivos de rastreamento de localização (GPS)", disseram os pesquisadores em uma publicação detalhando as vulnerabilidades.
"Essas vulnerabilidades permitem que terceiros terceirizados (entre outras coisas) acessem os dados de localização de todos os dispositivos de rastreamento de localização gerenciados pelos serviços online vulneráveis".
Os pesquisadores disseram que as vulnerabilidades incluem pastas expostas, pontos de extremidade de API não protegidos, falhas de referência de objetos diretas inseguras e senhas fáceis de adivinhar.
Ao utilizar essas falhas, os invasores podem ter acesso a informações como números de telefone, IMEI e números de série do dispositivo, coordenadas GPS e dados pessoais.
Ao longo dos últimos meses, os pesquisadores estão chegando a empresas potencialmente afetadas para garantir que compreendam a gravidade dessas falhas.
Eles acreditam que muitos desses serviços poderiam usar versões desactualizadas do popular software de rastreamento de localização ThinkRace, e exortá-los a manterem-se atualizados.
Em muitos casos, as empresas tentaram corrigir essas falhas, mas acabam reaparecendo mais abaixo. Os pesquisadores disseram que as empresas precisam continuar procurando por sinais dessas falhas.
"Houve vários serviços on-line que deixaram de ser vulneráveis ao nosso código automatizado de prova de conceito, mas, porque nunca recebemos uma notificação de um fornecedor que eles os corrigiram, pode ser que os serviços voltassem a ser novamente vulneráveis", afirmou. .
Stykas e Gruhn fizeram várias sugestões para ajudar os usuários a atenuar essas falhas de segurança. Um deles é remover o máximo possível de dados pessoalmente identificáveis dos dispositivos afetados.
"Se você personalizou seu dispositivo, por exemplo, com um nome personalizado (como a marca do seu carro) ou números de telefone atribuídos através do serviço on-line, você deve alterar e / ou excluir aqueles", recomendaram.
"Enquanto o histórico de localização permanece nos sites, não há histórico (que conhecemos) para nomes ou números de telefone atribuídos a dispositivos.
"Desta forma, você pode, pelo menos, apagar algumas de suas informações privadas dos serviços online ainda vulneráveis".
