数以百计的GPS定位跟踪服务让用户数据对黑客开放

两名安全研究人员Vangelis Stykas和Michael Gruhn发现了一系列漏洞，他们称这些漏洞为追踪器他在一份报告中详细介绍了他们在许多GPS跟踪服务中遇到的关键安全问题。

Trackmageddon影响了多个GPS服务，这些服务从一系列支持GPS的智能设备（包括儿童跟踪器、汽车跟踪器、宠物跟踪器等）中获取用户的地理位置数据，以使其所有者能够跟踪他们的位置。

研究人员称，这些漏洞包括容易猜测的密码（如123456）、暴露的文件夹、不安全的API端点以及不安全的直接对象引用（IDOR）问题。

通过利用这些缺陷，未经授权的第三方或黑客可以访问所有位置跟踪设备收集的个人识别信息，包括GPS坐标、电话号码、设备型号和类型信息、IMEI号码和自定义指定的名称。
另外在一些在线服务中，未经授权的第三方也可以访问位置跟踪设备上传的照片和音频记录。

两人表示，他们一直在试图联系受影响跟踪服务背后可能受影响的供应商，以警告他们这些漏洞的严重性。

据研究人员称，全球最大的GPS跟踪设备供应商之一ThinkRace可能是有缺陷的位置跟踪在线服务软件的原始开发者和该软件的许可证销售商。

尽管四个受影响的ThinkRace域现已修复，但仍然使用相同缺陷服务的其余域仍然易受攻击。由于许多服务可能仍在使用ThinkRace的旧版本，因此敦促用户保持最新。

研究人员在报告中写道：“我们试图给供应商足够的时间进行修复（也对此事做出回应），同时将其与用户当前的直接风险进行加权。”。

“我们理解，只有供应商修复程序才能从仍然受影响的服务中删除用户的位置历史记录（以及任何其他存储的用户数据），但我们（以及我个人，因为我的数据也在其中一个网站上）判断这些漏洞被实时位置跟踪设备利用的风险远高于历史数据被暴露的风险。"

在许多情况下，供应商试图修补漏洞，但问题最终再次出现。大约79个域名仍然容易受到攻击，研究人员表示，他们不知道这些服务是否会被修复。

两人说：“有几项在线服务不再容易受到我们的自动概念验证代码的攻击，但因为我们从未收到供应商通知他们修复了这些服务，所以这些服务可能会再次作为易受攻击的服务上线。”。

您可以在Trackmageddon报告中找到受影响域的完整列表。

Stykas和Gruhn还建议用户避免这些漏洞，包括从受影响的设备上删除尽可能多的数据，更改跟踪服务的密码并保持一个强大的密码，或者在问题解决之前停止使用受影响的设备。