Trackmageddon: GPS-Tracking-Services ermöglichen unbefugten Zugriff
Sicherheitsforscher haben Schwachstellen in zahlreichen Online-Tracking-Services entdeckt, die Angreifern unter anderem das Abrufen von GPS-Daten ermöglichen. Eine Liste der verwundbaren Services ist online verfügbar.
(Bild: pixabay.com)
Mehr als 100 Online-Tracking-Services enthalten Schwachstellen, die Angreifern unter bestimmten Umständen Zugriff auf sämtliche mit ihnen verknüpfte GPS-Tracker gewähren. Betroffen ist eine Vielzahl ganz unterschiedlicher GPS-fähiger Geräte wie beipielsweise Smartphones mit Tracking-Apps, Ortungsgeräte für Fahrzeuge oder Wearables für Kinder.
Die auf den Namen "Trackmageddon" getaufte Sicherheitslücken-Sammlung haben Sicherheitsforscher detailliert auf einer eigens dafür eingerichteten Webseite beschrieben. Sie reicht von offen zugänglichen Verzeichnisstrukturen auf Webservern über unsichere Default-Passwörter bis hin zu offengelegten API-Funktionen, die eine unbefugte Steuerung der Tracking-Dienste ermöglichen.
Was kann passieren?
Via Trackmageddon sollen Angreifer unter anderem Geolokalisierungsdaten sowie Informationen über beliebige Tracker wie beispielsweise deren Modellbezeichnung oder die International Mobile Station Equipment Identity (IMEI) abrufen können. In zwei Fällen gelang es den Forschern gar, Chroniken zuletzt besuchter Orte abzurufen, Befehle via SMS zu versenden und den Geofencing-Alarm der mit den Services gekoppelten Geräte auszulösen.
Personenspezische Informationen sollen nicht direkt abrufbar sein, so dass keine direkten Rückschlüsse auf die Identität eines Nutzers gezogen werden können.
Was Nutzer tun sollten
Das Forscher-Team hat eine Liste aller betroffenen Services und Geräte veröffentlicht, um Nutzer vor den Schwachstellen zu warnen. Nach eigenen Angaben ließen sie den Tracking-Service-Betreiber im Vorfeld ausreichend Zeit , um die Lücken zu schließen. Allerdings hätten nur wenige von ihnen reagiert. Das verdeutlicht auch die (sehr kurze) Auflistung der "fixed" und "maybe fixed" Services auf der Trackmageddon-Webseite.
Nutzern mittlerweile abgesicherter Tracking-Services raten die Sicherheitsforscher zur umgehenden Passwortänderung. Geräte beziehungsweise Anwendungen, dir mit noch immer ungefixten Services kommunizieren, sollten grundsätzlich nicht mehr verwendet werden; zudem ist es ratsam, dort hinterlegte Informationen zeitnah zu löschen. (ovw)
