Des centaines de services de localisation GPS risqués

Les chercheurs en sécurité ont mis au jour de multiples vulnérabilités dans des centaines de services GPS qui pourraient permettre aux pirates d’exposer toute une série de données sensibles sur des millions de dispositifs de localisation en ligne gérés par des services GPS vulnérables.

 

Trackmageddon

La série de vulnérabilités découvertes par deux chercheurs en sécurité, Vangelis Stykas et Michael Gruhn, qui ont qualifié les bugs de «Trackmageddon» dans un rapport, détaillant les problèmes de sécurité clés qu’ils ont rencontrés dans de nombreux services de suivi GPS.
Trackmageddon affecte plusieurs services GPS qui recueillent les données de géolocalisation des utilisateurs à partir d’une gamme d’appareils GPS intelligents, y compris les trackers pour enfants, les trackers de voiture, les trackers pour animaux de compagnie entre autres, afin de permettre à leurs propriétaires de suivre leur localisation.

Lire aussi :   DOOGEE Mix: la fiche technique/les Caractéristiques

Selon les chercheurs, les vulnérabilités comprennent des mots de passe faciles à deviner (tels que 123456), des dossiers exposés, des points de terminaison d’API non sécurisés et des problèmes de référence d’objets directs non sécurisés (IDOR).

Lire aussi: Les pires mots de passe à ne pas utiliser pour la nouvelle année

En exploitant ces failles, un tiers non autorisé ou un pirate peut accéder aux informations personnellement identifiables collectées par tous les dispositifs de localisation, y compris les coordonnées GPS, les numéros de téléphone, le modèle et le type de périphérique, les numéros IMEI et les noms personnalisés.

 

 

Lire aussi :   Les meilleurs disques durs moins cher pour cette année

Quoi de plus?

Sur certains services en ligne, un tiers non autorisé peut également accéder aux photos et aux enregistrements audio téléchargés par les dispositifs de localisation.
Le duo a dit qu’ils ont essayé d’atteindre les fournisseurs potentiellement affectés derrière les services de suivi affectés pour les avertir de la gravité de ces vulnérabilités.

Dans de nombreux cas, les fournisseurs ont tenté de corriger les vulnérabilités, mais les problèmes ont fini par réapparaître. Environ 79 domaines restent vulnérables, et les chercheurs ont déclaré qu’ils ne savaient pas si ces services seraient corrigés.

Vous pouvez trouver la liste complète des domaines affectés dans le rapport Trackmageddon.

Stykas et Gruhn ont également recommandé aux utilisateurs d’éviter ces vulnérabilités, notamment en supprimant autant de données que possible des périphériques concernés, en modifiant le mot de passe des services de suivi et en en conservant un fort, ou en arrêtant simplement d’utiliser les périphériques concernés jusqu’à ce que les problèmes soient corrigés.

Lire aussi :   L'Inde souhaite acquérir le train subsonique Hyperloop

Lire aussi: 15 façons d’empêcher votre blog WordPress d’être piraté

One Reply to “Des centaines de services de localisation GPS risqués”

Laisser un commentaire