MONASTUCE Le 1er blog ivoirien dédié à la sécurité informatique et à la cybersécurité
Les chercheurs en sécurité ont mis au jour de multiples vulnérabilités dans des centaines de services GPS qui pourraient permettre aux pirates d’exposer toute une série de données sensibles sur des millions de dispositifs de localisation en ligne gérés par des services GPS vulnérables.
Trackmageddon
La série de vulnérabilités découvertes par deux chercheurs en sécurité, Vangelis Stykas et Michael Gruhn, qui ont qualifié les bugs de «Trackmageddon» dans un rapport, détaillant les problèmes de sécurité clés qu’ils ont rencontrés dans de nombreux services de suivi GPS.
Trackmageddon affecte plusieurs services GPS qui recueillent les données de géolocalisation des utilisateurs à partir d’une gamme d’appareils GPS intelligents, y compris les trackers pour enfants, les trackers de voiture, les trackers pour animaux de compagnie entre autres, afin de permettre à leurs propriétaires de suivre leur localisation.
Selon les chercheurs, les vulnérabilités comprennent des mots de passe faciles à deviner (tels que 123456), des dossiers exposés, des points de terminaison d’API non sécurisés et des problèmes de référence d’objets directs non sécurisés (IDOR).
Lire aussi: Les pires mots de passe à ne pas utiliser pour la nouvelle année
En exploitant ces failles, un tiers non autorisé ou un pirate peut accéder aux informations personnellement identifiables collectées par tous les dispositifs de localisation, y compris les coordonnées GPS, les numéros de téléphone, le modèle et le type de périphérique, les numéros IMEI et les noms personnalisés.
Quoi de plus?
Sur certains services en ligne, un tiers non autorisé peut également accéder aux photos et aux enregistrements audio téléchargés par les dispositifs de localisation.
Le duo a dit qu’ils ont essayé d’atteindre les fournisseurs potentiellement affectés derrière les services de suivi affectés pour les avertir de la gravité de ces vulnérabilités.
Dans de nombreux cas, les fournisseurs ont tenté de corriger les vulnérabilités, mais les problèmes ont fini par réapparaître. Environ 79 domaines restent vulnérables, et les chercheurs ont déclaré qu’ils ne savaient pas si ces services seraient corrigés.
Vous pouvez trouver la liste complète des domaines affectés dans le rapport Trackmageddon.
Stykas et Gruhn ont également recommandé aux utilisateurs d’éviter ces vulnérabilités, notamment en supprimant autant de données que possible des périphériques concernés, en modifiant le mot de passe des services de suivi et en en conservant un fort, ou en arrêtant simplement d’utiliser les périphériques concernés jusqu’à ce que les problèmes soient corrigés.
Lire aussi: 15 façons d’empêcher votre blog WordPress d’être piraté
Un commentaire
Pingback: La luttre contre la contrefaçon de HP (HP ACF) - MONASTUCE