Cybersecurity Privacy

ผู้ให้บริการติดตาม Location นับร้อยปล่อยให้ข้อมูลของผู้ใช้ตกอยู่ในความเสี่ยง

โดเมนของผู้ให้บริการติดตาม Location ปล่อยให้ข้อมูลของผู้ใช้ตกอยู่ในความเสี่ยง

นักวิจัยความปลอดภัยพบช่องโหว่ของผู้ให้บริการ GPS นับร้อย ที่แฮกเกอร์สามารถใช้เป็นช่องทางเข้าถึงข้อมูลสำคัญของผู้ใช้นับล้านที่กำลังใช้บริการอยู่

นักวิจัยความปลอดภัย 2 คน คุณ Vangelis Stykas และ Michael Grukn ผู้ค้นพบช่องโหว่นี้เรียกมันว่า “Trackmageddon”

Trackmageddon คือช่องโหว่ที่มีอยู่บริการ GPS ที่ใช้วิธีรวบรวมข้อมูลจากผู้ใช้ผ่านอุปกรณ์ที่เปิด GPS หรือแอปพลิเคชั่นที่ใช้งาน GPS อย่างแอปฯระบุตำแหน่งคน รถ สัตว์เลี้ยงต่างๆ

ช่องโหว่เหล่านี้ประกอบไปด้วย รหัสผ่านที่คาดเดาง่าย (เช่น 123456), ปโฟลเดอร์ที่เปิดเผย, API ที่ไม่ปลอดภัย และ IDOR (insecure direct object reference)

ข้อมูลที่แฮกเกอร์จะได้ไปหากเจาะผ่านช่องโหว่เหล่านี้ได้มี ตำแหน่งของอุปกรณ์, เบอร์โทรศัพท์, รหัสเครื่อง, หมายเลข IMEI และชื่อ

Screen Shot 2561-01-12 at 2.10.57 PM

ในบางโดเมนสามารถเข้าถึงข้อมูลจำพวกรูปภาพ และไฟล์เสียงที่อัพโหลดโดยบริการ GPS

นักวิจัยทั้งสองท่านได้แจ้งเตือนกับทางเจ้าของบริการเพื่อให้อุดช่องโหว่ดังกล่าว แต่มีเพียงไม่กี่เจ้าที่รีบดำเนินการแก้ไข

ทางที่ดีสำหรับผู้ใช้ในการลดความเสี่ยงก็คือหลีกเลี่ยงการเก็บข้อมูลสำคัญไว้ภายในเครื่อง หรือก็คือเก็บข้อมูลสำคัญให้น้อยที่สุด เปลี่ยนรหัสผ่านเป็นประจำ หรือเลิกใช้งานผู้ให้บริการที่ยังไม่แก้ไขช่องโหว่ Trackmageddon

%d bloggers like this: