Trackmageddon: Die GPS-Sicherheitslücke

In den GPS-Positions-Tracking-Diensten gibt es Sicherheitslücken, wodurch sich Nutzerdaten in Software abfischen lassen. Hier ein paar Informationen zum Thema.


Anzeige

GPS-Tracking-Dienste sammeln Daten …

Bei GPS-Tracking-Diensten handelt es sich um Basisdatenbanken, die Geolokalisierungsdaten von intelligenten GPS-fähigen Geräten (Haustier-, Kinder-, Fitness- oder Fahrzeugtracker etc.) sammeln. Gelingt es Dritten auf diese Daten unbefugt zuzugreifen, kann er praktisch den Träger des GPS-Trackers überwachen.

GPS-Tracking
(Quelle: Pexels /Pixabay CC0 Lizenz)

Die Daten werden gerätebezogen gesammelt und in der Datenbank gespeichert. Produkthersteller nutzen diese Dienste als Drop-in-Lösungen für ihre Smart Devices und können so eine GPS-Tracking-Funktion für die Software-Suite ihres Produkts unterstützen.

… und haben Sicherheitslücken

Die Sicherheitsforscher Vangelis Stykas und Michael Gruhn haben nun einen Bericht über eine Reihe von Schwachstellen veröffentlicht. Unter dem Begriff “Trackmageddon” beschreiben sie mehrere Schwachstellen in GPS- und Ortungsdiensten.

Die beiden Forscher argumentieren, dass ein Angreifer diese Fehler, nutzen könnte, um Geolokalisierungsdaten von den Nutzern dieser Dienste zu sammeln. Das reicht von leicht zu erratenden Standardkennwörtern bis hin zu exponierten Ordnern, von ungesicherten API-Endpunkten, bis hin zu unsicheren IDOR-Fehlern (Direct Object Reference).

Stykas und Gruhn geben an, dass ein Angreifer die Trackmageddon-Schwachstellen nutzen kann, um Daten wie GPS-Koordinaten, Telefonnummern, Gerätedaten (IMEI, Seriennummer, etc.) und möglicherweise persönliche Daten zu extrahieren – je nach Tracking-Service und Gerätekonfiguration.

100+ Tracking-Dienste können keine Fehler beheben

Die beiden haben in den letzten Monaten versucht, die betroffenen Tracking-Dienste zu erreichen. Aber der Erfolg war mickrig: Nur vier Dienste haben Fixes zum Schließen der Datenlecks implementiert. In vielen Fällen verfügten diese Tracking-Dienste über keinerlei Kontaktinformationen auf ihren Websites, was eine private Offenlegung einer Sicherheitslücke nahezu unmöglich machte.


Werbung

Das Forschungsteam sagte, sie stünden vor einem moralischen Dilemma, als es darum ging, die Trackmageddon-Fehler aufzudecken. Unter allgemeinen Umständen hätten sie den Unternehmen mehr Zeit gelassen, um diese Probleme zu beheben, aber sie sagten, dass sie mit ihrer Forschung an die Öffentlichkeit gingen, weil diese Dienste aktiv sensible Kundeninformationen durchsickerten.

“Unser moralisches Dilemma war, dass Benutzer ihre Ortsdaten nicht löschen können. Das kann nur ein Anbieter”, sagte Gruhn Bleeping Computer, die darüber berichteten. “Wir haben das veröffentlicht, weil wir das Risiko, das von Angreifern beim Extrahieren von Live-Standortdaten ausgeht (d.h. ein Angreifer, der weiß, wo Sie sich gerade befinden, wenn Sie das Gerät verwenden), als weitaus höher eingestuft haben als das Risiko, das von einem Angreifer ausgeht, der weiß, wo Sie in der Vergangenheit waren. So können sich die Anwender jetzt vor den weitaus schlimmeren Angriffen schützen, indem sie die Geräte nicht benutzen, auch wenn dies bedeutet, dass die Schwachstelle in der Standorterfassung offen bleibt, weil die Hersteller diese Lücke nicht beheben.”

Liste der betroffenen Dienste

Die Sicherheitsforscher haben eine Liste der Dienste veröffentlicht, die die Fehler behoben haben oder behoben haben könnten, sowie eine Liste von Diensten, die immer noch Daten unsicher erfassen.

Trackmageddon-Homepage
Security Advisory

Zudem gibt es eine Liste der betroffenen Geräte. Der Proof-of-Concept-Code für die Ausnutzung der Fehler wurde überarbeitet, um jegliche Versuche von Cyber-Stalking zu verhindern. Die Forscher glauben auch, dass die meisten der angreifbaren Tracking-Dienste eine anfällige Version der ThinkRace Ortungssoftware verwenden. Diese wurde von vielen Entwicklern übernommen und integriert. Stykas und Gruhn haben die ThinkRace-Entwickler informiert, worauf diese Patches bereitstellten. Aber diese müssen wohl in die Produkte integriert werden.


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.