Trackmageddon permite a los ciberatacantes rastrear a niños, animales y más

10/01/2018

Investigadores han descubierto varias vulnerabilidades en los servicios de ubicación y GPS en línea que permitirían a las partes deshonestas acceder a los datos de ubicación en los dispositivos vinculados a esos servicios.

Los "sombreros blancos" Vangelis Stykas y Michael Gruhn nombraron al grupo de problemas "Trackmageddon" y explicaron que los dominios afectados son numerosos y cubren todo, desde collares para perros inteligentes hasta navegación en el automóvil y rastreadores de niños, entre otros.

Los dos encontraron API (Application Programming Interface) expuestas que permiten a un ciberatacante no autenticado tomar el control total de los dispositivos de seguimiento GPS registrados (en la misma medida en que un propietario legítimo de dicho dispositivo puede controlar la API). Los investigadores han desarrollado pruebas de concepto (PoC) que muestran cómo alguien puede extraer las ubicaciones, así como los números de teléfono asociados y los modelos de dispositivo de la base de datos del usuario a través de la API expuesta en cada sitio web afectado. Sin embargo, los defectos también permiten a los ciberatacantes actualizar el firmware y enviar comandos a los dispositivos.

Los investigadores piensan que todos los defectos se remontan a un código de servidor que ha sido copiado una y otra vez. Desafortunadamente, han batallado al contactar a los proveedores afectados, la mayoría de los cuales no brindan ninguna información de contacto. Un proveedor, One2Track, respondió inmediatamente y implementó correcciones rápidamente en los sitios afectados www.one2trackgps.com, kiddo-track.com y www.amber360.com. Otro, Thinkrace, ha arreglado grapi.5gcity.com, wagps.net, www.wagps.net y love.iotts.net.

Sin embargo, más de 100 no respondieron o fue imposible de rastrearlos (sin caer en el chiste), por lo que los investigadores decidieron revelar los defectos después de un poco de introspección. El problema es que los ciberatacantes pueden usar Trackmageddon para descubrir datos de ubicación en tiempo real para individuos, incluidos los niños, y no solo historias de geolocalización pasadas.

"Nuestro dilema moral era que los usuarios no pueden eliminar su historial de ubicación. Solo un proveedor puede hacerlo", dijo Gruhn a Bleeping Computer. "Divulgamos el descubrimiento porque calificamos el riesgo que implica que los ciberatacantes extraigan datos de ubicación en vivo (esto es, un atacante sabe dónde te encuentras actualmente cada vez que usas el dispositivo), que es mucho más alto en comparación con el riesgo que supone que un atacante sepa dónde has estado en el pasado. Entonces, los usuarios ahora pueden protegerse de los ataques mucho peores al no usar los dispositivos, incluso si esto significa que su historial de ubicaciones permanece expuesto porque los proveedores no están solucionando esto".

Puedes encontrar una lista completa de los dominios afectados y lo que se ha solucionado y lo que no aquí.