พบช่องโหว่ Trackmageddon ส่งผลกับบริการติดตามของ Smart Device จำนวนมาก

Vangelis Stykas และ Michael Gruhn นักวิจัยด้านความมั่นคงปลอดภัยได้ออกรายงานเกี่ยวกับช่องโหว่ที่ชื่อว่า ‘Trackmageddon’ ซึ่งส่งผลกระทบกับบริการติดตาม Location และ GPS หลายแห่ง โดยผู้โจมตีสามารถใช้ช่องโหว่เหล่านี้เพื่อได้รับข้อมูล เช่น พิกัด GPS, เบอร์โทรศัพท์, ข้อมูลอุปกรณ์เลข IMIE หรือ Serial Number หรือ Mac Address และข้อมูลอื่นๆ ขึ้นอยู่กับการตั้งค่าของอุปกรณ์ว่าส่งอะไรไปบ้าง

Credit: ShutterStock.com

ปกติแล้วบริการ GPS คือฐานข้อมูลธรรมดาๆ ที่เก็บข้อมูลพิกัดจากอุปกรณ์ที่เปิด GPS ไว้ไม่ว่าจะเป็น อุปกรณ์ติดตามรถ ติดตามสัตว์เลี้ยง ติดตามเด็ก หรืออื่นๆ ซึ่งผู้ผลิตอุปกรณ์มักจะผนวกเอาบริการ GPS นี้เข้าไปในซอฟแวร์อุปกรณ์อัจฉริยะของตนด้วย โดยนักวิจัยได้มีความคิดที่ว่าผู้โจมตีสามารถใช้ช่องโหว่ เช่น รหัสผ่านดั้งเดิมที่สามารถเดาได้ง่ายในการเผยโฟลเดอร์ หรือจากอุปกรณ์ฝั่งปลายที่ใช้ API ไม่มั่นคงปลอดภัยซึ่งอาจจะมีช่องโหว่แบบ Insecure Direct Object Reference (IDOR) คือผู้โจมตีที่ได้รับการพิสูจน์ตัวตนแล้วสามารถเปลี่ยนค่าพารามิเตอร์ที่ใช้ร้องขอทรัพยากรโดยตรงไปยังทรัพยากรส่วนอื่นที่ไม่เหมาะสม

อย่างไรก็ตามนักวิจัยได้ใช้เวลาหลายเดือนเพื่อโน้มน้าวบริการติดตามที่ได้รับผลกระทบแต่มีเสียงตอบรับกลับมาน้อยมากมีเพียง 4 บริการเท่านั้นที่ได้รับการแก้ไข ขณะเดียวกันอีกหลายบริการติดตามไม่ได้ให้ช่องทางติดต่อเอาไว้บนเว็บไซต์จึงแทบไม่สามารถแจ้งเตือนเป็นการส่วนตัวได้เลย นักวิจัยจึงได้ตัดสินใจเผยแพร่ช่องโหว่นี้ผ่านเว็บไซต์ (กล่างถึงว่าบริการของเว็บไหนมีปัญหาแก้หรือยังไม่แก้ปัญหาเพื่อตรวจสอบด้วยตัวเองว่าได้รับผลกระทบหรือไม่ รวมถึงวิธีป้องกันตัวเอง ) เนื่องจากผู้ใช้งานที่ได้รับผลกระทบสมควรรู้ว่าบริการเหล่านี้มีช่องโหว่ที่อาจจะทำให้ข้อมูลส่วนบุคคลรั่วไหลได้และทำการแก้ปัญหาต่อไป โดยสำหรับมือใหม่แนะนำว่าให้หยุดใช้อุปกรณ์ที่ได้รับผลกระทบก่อน

นักวิจัยเชื่อว่าบริการติดตามส่วนใหญ่ที่ได้รับผลกระทบได้นำเอาซอฟต์แวร์ของ ThinkRace มาใช้งานต่อ ซึ่งนักวิจัยได้แจ้งเตือนและทาง ThinkRace เองก็ได้แก้ไขช่องโหว่ฝั่งตัวเองแล้วเช่นกัน นอกจากนี้สามารถติดตามรายรายละเอียดเชิงลึกของนักวิจัยที่กล่าวถึง ขั้นตอนการทำ PoC เพื่อทดสอบช่องโหว่นั้น คำแนะนำเพื่อบรรเทาปัญหาแก่ผู้ใช้งาน รวมถึงระบุเวลด้วยว่านักวิจัยใช้ช่องทางไหนแจ้งเตือนเจ้าของบริการเหล่านั้นและได้ผลตอบกลับอย่างไร ได้ที่นี่

ที่มา : https://www.bleepingcomputer.com/news/security/-trackmageddon-vulnerabilities-discovered-in-gps-location-tracking-services/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ผลศึกษาเผยองค์กรสามารถตรวจพบเหตุการณ์ Breach ได้เองมากขึ้นแต่ยังล่าช้าอยู่

CrowdStrike ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยได้ศึกษาถึง Security Incidents กว่า 200 ครั้งพบว่าองค์กรกว่า 75% สามารถตรวจพบเหตุการณ์ Breach ได้เองซึ่งเพิ่มขึ้นมา 7% เมื่อเทียบกับปี 2017 อย่างไรก็ตามเวลาเฉลี่ยที่ใช้ยังกินเวลากว่า …

แฮ็กเกอร์ขโมย Credentials บริการของรัฐบาลในหลายประเทศปล่อยไว้ในออนไลน์

Group-IB บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ได้เปิดเผยถึงการค้นพบ Credentials ของบริการรัฐบาลในหลายประเทศผ่านทางออนไลน์ระหว่างการตามรอยมัลแวร์ ซึ่งมีเหยื่อกว่า 4 หมื่นรายและเชื่อว่า Crendentials ดังกล่าวอาจถูกเร่ขายในตลาดใต้ดินของกลุ่มแฮ็กเกอร์