Dua periset keamanan – Vangelis Stykas dan Michael Gruhn – telah menerbitkan sebuah laporan tentang serangkaian kerentanan yang mereka beri nama “Trackmageddon” yang mempengaruhi beberapa layanan pelacakan lokasi dan GPS.
Layanan pelacakan GPS ini adalah basis data dasar yang mengumpulkan data geolokasi dari perangkat berkemampuan GPS cerdas, seperti pelacak hewan peliharaan, pelacak mobil, pelacak anak-anak, dan produk pelacak “insert_name” lainnya.
Data dikumpulkan berdasarkan per perangkat dan disimpan dalam database. Produsen produk menggunakan layanan ini sebagai solusi drop-in untuk perangkat cerdas mereka, yang memungkinkan mereka mendukung fitur pelacakan GPS untuk rangkaian perangkat lunak produk mereka.
Kerentanan Trackmageddon membocorkan info pengguna
Kedua peneliti tersebut berpendapat bahwa penyerang dapat memanfaatkan pengumpulan kerentanan yang mereka temukan untuk mengumpulkan data geolokasi dari pengguna layanan tersebut.
Kerentanannya berkisar dari password default yang mudah ditebak dalam folder yang terpapar, dan kerentanan dari endpoint API yang tidak aman hingga insecure direct object reference (IDOR).
Stykas dan Gruhn mengatakan bahwa penyerang dapat menggunakan kerentanan Trackmageddon untuk mengekstrak data seperti koordinat GPS, nomor telepon, data perangkat (IMEI, nomor seri, dll.), dan mungkin data pribadi – tergantung pada layanan pelacakan dan konfigurasi perangkat.
Lebih dari 100 layanan pelacakan gagal untuk mengetahui kerentanan dan patch
Keduanya telah bekerja selama beberapa bulan terakhir untuk memberitahu layanan pelacakan yang terkena dampak, namun hanya empat layanan yang menerapkan perbaikan untuk mengatasi kebocoran data. Dalam banyak kasus, layanan pelacakan ini tidak memiliki informasi kontak di situs mereka, sehingga pemberitahuan lewat jalur pribadi hampir tidak mungkin dilakukan.
Tim peneliti mengatakan bahwa mereka menghadapi dilema moral saat mengungkapkan kerentanan Trackmageddon. Dalam keadaan umum, mereka akan membiarkan perusahaan lebih banyak waktu untuk memperbaiki masalah ini, namun mereka mengatakan bahwa mereka mempublikasikan penelitian mereka karena layanan ini secara aktif membocorkan informasi pelanggan yang sensitif.
“Dilema moral kami adalah pengguna tidak dapat menghapus riwayat lokasi mereka. Hanya vendor yang bisa melakukan itu,” kata Gruhn kepada Error 404 Cyber News.
“Kami mengungkapkan ini karena kami menilai risiko yang ditimbulkan oleh penyerang yang mengekstraksi data lokasi langsung (yang penyerang tahu adalah kamu saat ini setiap kali kamu menggunakan perangkat) jauh lebih tinggi daripada risiko yang ditimbulkan oleh penyerang yang mengetahui di mana kamu berada di waktu yang lalu. Jadi pengguna sekarang bisa melindungi diri dari serangan yang jauh lebih buruk dengan tidak menggunakan perangkat meski ini berarti ada riwayat lokasi yang tetap terpapar karena vendor tidak memperbaikinya.“
Periset telah merilis daftar layanan yang memperbaiki atau yang mungkin memperbaiki kerentanan ini, daftar layanan yang masih bocor, dan daftar perangkat yang terpengaruh di website khusus Trackmageddon: https://0x0.li/trackmageddon/
