انتشار آسیب پذیری Trackmageddon بر روی سرویس های مکان یابی (GPS)

کارشناسان امنیتی با نام های Vangelis Stykas و  Michael Gruhn بر روی سرویس های آنلاین ردیابی مکان شبکه های GSM آسیب پذیری یافته اند که Trackmageddon نامیده شده است. مهاجم با عبور از فرآیند احراز هویت، استفاده از رمز های عبور پیش فرض مانند "123456 " و آسیب‌پذیری  IDOR که به یک کاربر معتبر اجازه می‌دهد به سادگی با تغییر کوچکی در پارامتر  POST  وب سایت مورد نظر، به اطلاعات تجهیزات ردیابی مکان توسط سرویس های آنلاین مانند مکان کاربر، آخرین مکان هایی که کاربر در آن ها بوده، نوع تجهیز و مدل آن، شماره سریال تجهیز ، شماره تماس کاربر و بنابر نوع سرویس ارائه شده ممکن است به اطلاعات مهم کاربر نیز دسترسی یابد.
سایت gpsui.net که بزرگترین سرور جهت ردیابی مکان  GSM و  GPS(حدود 615,817 تجهیز )می باشد، نیز به چندین آسیب پذیری در ارتباط با احراز هویت کاربران که سبب افزایش دسترسی مهاجم و در نهایت افشا و یا تغییر اطلاعات کاربران که در این سایت ذخیره شده است می گردد و امکان کنترل تمام تجهیزات متصل را نیز می دهد، آلوده است.
این آسیب پذیری بسیار نگران کننده است زیرا این سایت توسط ردیاب های تعبیه شده در میکروفن ها مورد استفاده قرار می گیرد. مهاجم امکان ثبت شماره تماس جدید از راه دور بر روی تجهیز و تنظیم آن برای برقرای تماس با آن شماره زمانیکه آستانه صدای محیط از حد خاصی افزایش یابد را خواهد داشت. این قابلیت نه تنها به مهاجم اجازه شنود بیش از 615,817 تجهیز به صورت هم زمان را خواهد داد بلکه به او اجازه کسب درآمد با استفاده از ایجاد تماس از کاربر مورد نظر به  مرکز خدمات کاربر و دریافت وجه به ازای سرویس ها را خواهد داد.
آسیب پذیری ذکر شده دارای CWE-639 که در ارتباط با عبور از احراز هویت با استفاده از کلید کنترل شده کاربر  و IDOR است، می باشد.
ظاهرا این نرم‌افزار آسیب‌پذیر توسط یک شرکت مستقر در چین به نام ThinkRace تولید شده است، اما در بسیاری از موارد این شرکت روی کارگزارهایی که میزبان سرویس‌های ردیابی هستند، کنترلی ندارد.
تقریبا ۱۰۰ دامنه تحت تاثیر آسیب پذیری ذکر شده قرار گرفته‌اند، برخی از دامنه های آلوده شده عبارتند از:

567gps.com

app.gpsyeah.com

binding.gpsyeah.net

car.iotts.net

carm.gpscar.cn

chile.kunhigps.cl

classic.gpsyeah.com

en2.gps18.com

en.gps18.com

en.gpsxitong.com

کاربران بهتر است  از ثبت‌نام در سرویس‌های آنلاین که بر روی وب‌سایت‌های آسیب‌ پذیر ارائه می‌شوند، خودداری نمایند. اما در صورت  ثبت نام، با غیرفعال کردن سرویس GPS بر روی گوشی و یا تجهیز خود تا زمان برطرف شدن آسیب‌پذیری از سمت وب‌سایت تحت تاثیر، می‌توانند از سرقت اطلاعات خود توسط نفوذگر جلوگیری نمایند. همچنین توصیه می شود رمز های عبور جهت استفاده از این سرویس ها را تغییر داده و رمز قوی تر انتخاب گردد.
شایان ذکر است در صورتی‌ که مشترکین تاکنون از این سرویس‌های آنلاین استفاده می ‌نموده‌اند، هیچگونه راه حلی جهت حذف اطلاعات ذخیره شده پیشین وجود ندارد و نفوذگر قادر به دستیابی به اطلاعات مذکور(نظیر موقعیت‌های مکانی ثبت شده در گذشته) می‌باشد.

راهبر