พบช่องโหว่ Trackmageddon ส่งผลกับบริการติดตามของ Smart Device จำนวนมาก

Vangelis Stykas และ Michael Gruhn นักวิจัยด้านความมั่นคงปลอดภัยได้ออกรายงานเกี่ยวกับช่องโหว่ที่ชื่อว่า ‘Trackmageddon’ ซึ่งส่งผลกระทบกับบริการติดตาม Location และ GPS หลายแห่ง โดยผู้โจมตีสามารถใช้ช่องโหว่เหล่านี้เพื่อได้รับข้อมูล เช่น พิกัด GPS, เบอร์โทรศัพท์, ข้อมูลอุปกรณ์เลข IMIE หรือ Serial Number หรือ Mac Address และข้อมูลอื่นๆ ขึ้นอยู่กับการตั้งค่าของอุปกรณ์ว่าส่งอะไรไปบ้าง

ปกติแล้วบริการ GPS คือฐานข้อมูลธรรมดาๆ ที่เก็บข้อมูลพิกัดจากอุปกรณ์ที่เปิด GPS ไว้ไม่ว่าจะเป็น อุปกรณ์ติดตามรถ ติดตามสัตว์เลี้ยง ติดตามเด็ก หรืออื่นๆ ซึ่งผู้ผลิตอุปกรณ์มักจะผนวกเอาบริการ GPS นี้เข้าไปในซอฟแวร์อุปกรณ์อัจฉริยะของตนด้วย โดยนักวิจัยได้มีความคิดที่ว่าผู้โจมตีสามารถใช้ช่องโหว่ เช่น รหัสผ่านดั้งเดิมที่สามารถเดาได้ง่ายในการเผยโฟลเดอร์ หรือจากอุปกรณ์ฝั่งปลายที่ใช้ API ไม่มั่นคงปลอดภัยซึ่งอาจจะมีช่องโหว่แบบ Insecure Direct Object Reference (IDOR) คือผู้โจมตีที่ได้รับการพิสูจน์ตัวตนแล้วสามารถเปลี่ยนค่าพารามิเตอร์ที่ใช้ร้องขอทรัพยากรโดยตรงไปยังทรัพยากรส่วนอื่นที่ไม่เหมาะสม

อย่างไรก็ตามนักวิจัยได้ใช้เวลาหลายเดือนเพื่อโน้มน้าวบริการติดตามที่ได้รับผลกระทบแต่มีเสียงตอบรับกลับมาน้อยมากมีเพียง 4 บริการเท่านั้นที่ได้รับการแก้ไข ขณะเดียวกันอีกหลายบริการติดตามไม่ได้ให้ช่องทางติดต่อเอาไว้บนเว็บไซต์จึงแทบไม่สามารถแจ้งเตือนเป็นการส่วนตัวได้เลย นักวิจัยจึงได้ตัดสินใจเผยแพร่ช่องโหว่นี้ผ่านเว็บไซต์ (กล่างถึงว่าบริการของเว็บไหนมีปัญหาแก้หรือยังไม่แก้ปัญหาเพื่อตรวจสอบด้วยตัวเองว่าได้รับผลกระทบหรือไม่ รวมถึงวิธีป้องกันตัวเอง ) เนื่องจากผู้ใช้งานที่ได้รับผลกระทบสมควรรู้ว่าบริการเหล่านี้มีช่องโหว่ที่อาจจะทำให้ข้อมูลส่วนบุคคลรั่วไหลได้และทำการแก้ปัญหาต่อไป โดยสำหรับมือใหม่แนะนำว่าให้หยุดใช้อุปกรณ์ที่ได้รับผลกระทบก่อน

นักวิจัยเชื่อว่าบริการติดตามส่วนใหญ่ที่ได้รับผลกระทบได้นำเอาซอฟต์แวร์ของ ThinkRace มาใช้งานต่อ ซึ่งนักวิจัยได้แจ้งเตือนและทาง ThinkRace เองก็ได้แก้ไขช่องโหว่ฝั่งตัวเองแล้วเช่นกัน นอกจากนี้สามารถติดตามรายรายละเอียดเชิงลึกของนักวิจัยที่กล่าวถึง ขั้นตอนการทำ PoC เพื่อทดสอบช่องโหว่นั้น คำแนะนำเพื่อบรรเทาปัญหาแก่ผู้ใช้งาน รวมถึงระบุเวลด้วยว่านักวิจัยใช้ช่องทางไหนแจ้งเตือนเจ้าของบริการเหล่านั้นและได้ผลตอบกลับอย่างไร ได้ที่นี่

ที่มา : https://www.bleepingcomputer.com/news/security/-trackmageddon-vulnerabilities-discovered-in-gps-location-tracking-services/