แอปพลิเคชันติดตามการออกกำลังกายของผู้ใช้เผยให้เห็นแผนที่ในค่ายของกองทัพในหลายประเทศ

Starva แอปพลิเคชันติดตามการออกกำลังกายได้มีการเก็บ Log การเคลื่อนที่ของผู้ใช้งาน เช่น การปั่นจักรยาน การเล่นเซิร์ฟ วิ่งออกกำลังกาย ซึ่งนำไปสู่การเผยถึงแผนที่ในค่ายทหารของกองทัพหลายแห่งโดยไม่ตั้งใจ อีกทั้งยังมีค่ายทหารพันธมิตรอย่างเช่น อิรัก อัฟกานิสถาน และซีเรียเป็นต้น ข้อมูลเหล่านี้มีความสำคัญมากเพราะอาจจะถูกนำไปใช้ในการวางแผนก่อการร้ายได้

credit : securityweek.com

Starva Labs ได้จัดทำแผนที่ออนไลน์ของผู้ใช้แอปพลิเคชันของตนขึ้นในที่ต่างๆ ซึ่งมีอยู่เกือบทั่วโลกและแผนที่สามารถแสดงระดับความเข้มของเส้นทางที่ใช้งานได้ด้วย โดยบางประเทศก็มีการใช้งานเป็นพื้นที่กว้าง บางประเทศก็มีบางพิกัดที่โดดเด่นออกมา เช่น แผนที่ในอิรักค่อนข้างมืดมากเนื่องจากการใช้งานไม่มากจึงทำให้เส้นทางบางจุดโดดเด่นออกมาแต่กลับกลายเป็นว่ามันเป็นข้อมูลสำคัญในฐานทหารของอเมริกาและพันธมิตร ยังมีอีกหลายประเทศที่ข้อมูลสำคัญเช่นนี้ถูกเผยออกมา เช่น อิรัก อัฟกานิสถาน เกาหลีเหนือ จีน อิหร่าน เป็นต้น

เส้นทางของถนนมีการแผ่ขยายยาวออกไปนั่นแสดงให้เห็นว่าแอปพลิเคชันนี้ได้เก็บข้อมูลผู้ใช้ขณะท่องเที่ยวหรือทำกิจกรรมทั่วๆ ไปด้วย นาย Tobias Schneider ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้แสดงความเห็นว่าแผนที่นี้ได้เผยถึงที่ตั้งฐานทัพในซีเรีย นอกจากนี้ยังมีฐานทัพในสาธารณรัฐไนเจอร์ (ประเทศนึงในทวีปแอปฟริกา) ที่ถูกใช้โดยกองกำลังฝรั่งเศส

ความจริงปัญหานี้สามารถหลีกเลี่ยงได้ง่ายมาก หากผู้ใช้งานเข้าไปตั้งค่าความเป็นส่วนตัวของแอปพลิเคชันในส่วน ‘Privacy Zone’ แล้วแอปพลิเคชันก็จะไม่เก็บค่าพิกัด GPS ซึ่งผู้ใช้งานแต่ละคนจะต้องเข้าไปตั้งค่าพื้นที่ส่วนตัวของตัวเองเพราะอยู่คนละสถานที่กัน แต่มีผู้ใช้น้อยมากที่รู้ว่ามันสามารถทำได้ ขณะเดียวกันแอปพลิเคชันเองไม่ได้มีการกระตุ้นให้ผู้ใช้ตั้งค่าข้อมูลด้วยเช่นกัน นอกจากนี้ผู้เชี่ยวชาญยังได้เตือน Strava ว่าอาจจะทำให้ผู้ไม่หวังดีรู้เส้นทางของผู้ใช้งานได้หากทราบชื่อ Username

ที่มา : http://www.securityweek.com/exercise-tracking-app-reveals-details-military-sites และ https://www.bleepingcomputer.com/news/technology/fitness-tracking-app-accidentally-exposed-military-bases/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือน Z-wave Downgrade Attack อุปกรณ์ IoT กว่า 100 ล้านชิ้นเสี่ยงถูกแฮ็ก

นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ค้นพบวิธีการโจมตีแบบ Downgrade Attack บนอุปกรณ์ IoT ที่ใช้โปรโตคอล Z-wave ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์ได้โดยไม่ได้รับอนุญาตแม้ว่าจะใช้กลไกการเข้ารหัสข้อมูลก็ตาม อุปกรณ์ IoT กว่าร้อยล้านชิ้นจากหลายพันยี่ห้อตกอยู่ในความเสี่ยง

พบมัลแวร์ตัวใหม่ ‘VPNFilter’ มุ่งโจมตี Router มีเหยื่อแล้วกว่า 5 แสนราย

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cisco ได้พบกลุ่มเราเตอร์กว่า 5 แสนอุปกรณ์ที่ตกเป็นเหยื่อของมัลแวร์ตัวใหม่ชื่อว่า ‘VPNFilter’ โดยมัลแวร์ตัวนี้มีความซับซ้อนในการปฏิบัติการสูง สามารถรอดจากการบูตระบบ ค้นหาส่วนประกอบของ SCADA หรือทำลายฟังก์ชันของ Firmware จนอุปกรณ์ไม่สามารถใช้งานได้ นอกจากนี้มัลแวร์สามารถปฏิบัติการได้ในเราเตอร์หลายยี่ห้อรวมถึงอุปกรณ์ NAS …