Peneliti keamanan telah menemukan beberapa kerentanan di ratusan layanan GPS yang memungkinkan penyerang mengekspos sejumlah besar data sensitif pada jutaan perangkat pelacakan lokasi online yang dikelola oleh layanan GPS yang rentan.
Serangkaian kerentanan yang ditemukan oleh dua periset keamanan, Vangelis Stykas dan Michael Gruhn, yang menjuluki bug tersebut sebagai ‘Trackmageddon’ dalam sebuah laporan, merinci masalah keamanan utama yang mereka hadapi di banyak layanan pelacakan GPS.
Trackmageddon mempengaruhi beberapa layanan GPS yang mengumpulkan data geolokasi pengguna dari berbagai perangkat berkemampuan GPS cerdas, termasuk pelacak anak-anak, pelacak mobil, pelacak hewan peliharaan, dan lain-lain, untuk memungkinkan pemiliknya melacak keberadaan mereka.
Menurut para peneliti, kerentanan tersebut mencakup kata kunci yang mudah ditebak (seperti 123456), folder yang terpapar, endpoint API yang tidak aman, dan masalah referensi objek langsung (IDOR) yang tidak aman.
Dengan memanfaatkan kekurangan ini, pihak ketiga yang tidak berwenang atau peretas dapat memperoleh akses ke informasi identitas pribadi yang dikumpulkan oleh semua perangkat pelacakan lokasi, termasuk koordinat GPS, nomor telepon, model perangkat dan informasi jenis, nomor IMEI, dan nama yang ditetapkan khusus.
Apa lagi? Pada beberapa layanan online, pihak ketiga yang tidak berwenang juga dapat mengakses foto dan rekaman audio yang diunggah oleh perangkat pelacakan lokasi.
Duo tersebut mengatakan bahwa mereka telah berusaha menjangkau vendor yang berpotensi terkena dampak di balik layanan pelacakan yang terkena dampak karena memperingatkan mereka akan tingkat keparahan kerentanan ini.
Menurut periset, salah satu vendor global terbesar untuk perangkat pelacak GPS, ThinkRace, mungkin merupakan pengembang asli dari lokasi pelacakan perangkat lunak layanan online yang cacat dan penjual lisensi ke perangkat lunak.
Meskipun empat domain ThinkRace yang terkena dampak sekarang telah diperbaiki, domain yang tersisa yang masih menggunakan layanan cacat yang sama tetap rentan. Karena banyak layanan masih bisa menggunakan ThinkRace versi lama, pengguna didesak agar tetap up-to-date.
“Kami mencoba memberi waktu kepada para vendor untuk memperbaiki (juga menanggapi hal itu) sementara kami membatasi ini terhadap risiko pengguna saat ini,” para peneliti menulis dalam laporan mereka.
“Kami memahami bahwa hanya perbaikan vendor yang dapat menghapus riwayat lokasi pengguna (dan data pengguna tersimpan lainnya), namun kami (dan saya pribadi karena data saya juga ada di salah satu situs tersebut) menilai risiko Kerentanan ini dieksploitasi terhadap perangkat pelacakan lokasi hidup jauh lebih tinggi daripada risiko data historis yang terpapar. “
Dalam banyak kasus, vendor mencoba untuk menambal kerentanan, namun masalah tersebut akhirnya muncul kembali. Sekitar 79 domain masih tetap rentan, dan periset mengatakan mereka tidak tahu apakah layanan ini akan diperbaiki.
“Ada beberapa layanan online yang berhenti rentan terhadap bukti kode konsep otomatis kami, namun karena kami tidak pernah menerima pemberitahuan dari vendor yang mereka tetapkan, mungkin layanan tersebut kembali online lagi sebagai rentan,” kata mereka.
Anda dapat menemukan seluruh daftar domain yang terpengaruh pada laporan Trackmageddon.
Stykas dan Gruhn juga merekomendasikan beberapa saran bagi pengguna untuk menghindari kerentanan ini, termasuk menghapus sebanyak mungkin data dari perangkat yang terpengaruh, mengubah kata sandi untuk layanan pelacakan dan menjaga yang kuat, atau hanya berhenti untuk menggunakan perangkat yang terpengaruh sampai masalah adalah tetap