اشکالات امنیتی در یک برنامه محبوب ردیابی تلفن، مکان دقیق کاربران را آشکار کرد

هفته گذشته که یک محقق امنیتی گفت که او به راحتی می تواند مکان دقیق را از هر یک از میلیون ها کاربر یک برنامه ردیابی تلفن که به طور گسترده استفاده می شود به دست آورد، ما باید خودمان آن را می دیدیم.

اریک دایگل، دانشجوی علوم کامپیوتر و اقتصاد در دانشگاه بریتیش کلمبیا در ونکوور، آسیب‌پذیری‌ها را در برنامه ردیابی iSharing به عنوان بخشی از تحقیقات در مورد امنیت برنامه‌های ردیابی مکان پیدا کرد. iSharing یکی از محبوب‌ترین اپلیکیشن‌های ردیابی موقعیت مکانی است که تا به امروز بیش از 35 میلیون کاربر دارد.

دایگل گفت این اشکالات به هر کسی که از برنامه استفاده می‌کند اجازه می‌دهد به مختصات دیگران دسترسی داشته باشد، حتی اگر کاربر به طور فعال داده‌های موقعیت مکانی خود را با دیگران به اشتراک نمی‌گذارد. این اشکالات همچنین نام کاربر، عکس نمایه، آدرس ایمیل و شماره تلفن مورد استفاده برای ورود به برنامه را نشان می‌داد.

این اشکالات به این معنی است که سرورهای iSharing به درستی بررسی نمی‌کنند که کاربران برنامه فقط به داده‌های موقعیت مکانی خود یا اطلاعات موقعیت مکانی شخص دیگری که با آنها به اشتراک گذاشته شده است دسترسی داشته باشند.

برنامه‌های ردیابی موقعیت مکانی – از جمله برنامه‌های مخفی “stalkerware” – دارای سابقه مشکلات امنیتی هستند که خطر لو رفتن یا افشای مکان دقیق کاربران را به همراه دارد.

در این مورد، دایگل تنها چند ثانیه طول کشید تا این خبرنگار را تا چند فوتی پیدا کند. با استفاده از یک تلفن اندرویدی با برنامه iSharing نصب شده و یک حساب کاربری جدید، از محقق پرسیدیم که آیا می‌تواند مکان دقیق ما را با استفاده از باگ‌ها مشخص کند.

“770 برادوی در منهتن؟” دایگل به همراه مختصات دقیق دفتر TechCrunch در نیویورک از جایی که تلفن در حال پینگ کردن موقعیت خود بود، پاسخ داد.

محقق امنیتی داده‌های موقعیت مکانی دقیق ما را از سرورهای iSharing استخراج کرد، حتی اگر برنامه مکان ما را با هیچ‌کس دیگری به اشتراک نمی‌گذاشت. اعتبار تصویر: TechCrunch (تصویر صفحه)

دایگل دو هفته قبل جزئیات این آسیب‌پذیری را با iSharing به اشتراک گذاشته بود، اما چیزی نشنیده بود. این زمانی بود که دایگل از TechCrunch برای تماس با سازندگان اپلیکیشن کمک خواست. iSharing به زودی یا در آخر هفته 20 تا 21 آوریل اشکالات را برطرف کرد.

Yongjae Chuh، یکی از بنیانگذاران iSharing در ایمیلی به TechCrunch گفت: «ما از محقق برای کشف این مشکل سپاسگزاریم تا بتوانیم از آن جلوتر برویم. تیم ما در حال حاضر در حال برنامه‌ریزی برای همکاری با متخصصان امنیتی برای افزودن هرگونه تدابیر امنیتی لازم برای اطمینان از محافظت از داده‌های هر کاربر است.

iSharing این آسیب‌پذیری را به دلیل ویژگی‌هایی که گروه‌ها می‌نامد، که به کاربران اجازه می‌دهد موقعیت مکانی خود را با سایر کاربران به اشتراک بگذارند، مقصر دانست. چو به TechCrunch گفت که گزارش‌های شرکت نشان می‌دهد که هیچ مدرکی مبنی بر یافتن باگ‌ها قبل از کشف دایگل وجود ندارد. Chuh اعتراف کرد که “ممکن است در مورد ما نظارتی وجود داشته باشد”، زیرا سرورهای آن نتوانستند بررسی کنند که آیا کاربران مجاز به پیوستن به گروهی از کاربران دیگر هستند یا خیر.

TechCrunch انتشار این داستان را تا زمانی که دایگل آن را تایید کرد، متوقف کرد.

دایگل به TechCrunch گفت: «پیدا کردن نقص اولیه در مجموع احتمالاً یک ساعت یا بیشتر از باز کردن برنامه، کشف فرم درخواست‌ها، و دیدن اینکه ایجاد یک گروه روی کاربر دیگری و پیوستن به آن کار می‌کند، فاصله داشت.

از آنجا، او چند ساعت دیگر را صرف ساخت یک اسکریپت اثبات مفهوم برای نشان دادن اشکال امنیتی کرد.

دایگل که این آسیب‌پذیری‌ها را با جزئیات بیشتری در وبلاگ خود توضیح داده است، گفت که قصد دارد به تحقیق در زمینه ابزارهای مخرب و ردیابی مکان ادامه دهد.

در TechCrunch بیشتر بخوانید:

• یک برنامه ردیابی خانواده در حال افشای اطلاعات مکان واقعی بود
• در داخل TheTruthSpy، شبکه stalkerware که از هزاران نفر جاسوسی می کند
• تلفن اندرویدی شما می‌تواند نرم‌افزار استالکر داشته باشد. در اینجا نحوه حذف آن آمده است
• TechCrunch ابزار جستجوی جاسوس افزار TheTruthSpy را راه اندازی کرد
• جستجوهای “معکوس”: روش‌های یواشکی که پلیس از غول‌های فناوری برای اطلاعات خصوصی شما استفاده می‌کند

برای ارتباط با این خبرنگار با سیگنال و واتس اپ به شماره 8849-755-646 +1 یا از طریق ایمیل در تماس باشید. همچنین می توانید فایل ها و اسناد را از طریق SecureDrop ارسال کنید.