اشکالات امنیتی در یک برنامه محبوب ردیابی تلفن، مکان دقیق کاربران را آشکار کرد
هفته گذشته که یک محقق امنیتی گفت که او به راحتی می تواند مکان دقیق را از هر یک از میلیون ها کاربر یک برنامه ردیابی تلفن که به طور گسترده استفاده می شود به دست آورد، ما باید خودمان آن را می دیدیم.
اریک دایگل، دانشجوی علوم کامپیوتر و اقتصاد در دانشگاه بریتیش کلمبیا در ونکوور، آسیبپذیریها را در برنامه ردیابی iSharing به عنوان بخشی از تحقیقات در مورد امنیت برنامههای ردیابی مکان پیدا کرد. iSharing یکی از محبوبترین اپلیکیشنهای ردیابی موقعیت مکانی است که تا به امروز بیش از 35 میلیون کاربر دارد.
دایگل گفت این اشکالات به هر کسی که از برنامه استفاده میکند اجازه میدهد به مختصات دیگران دسترسی داشته باشد، حتی اگر کاربر به طور فعال دادههای موقعیت مکانی خود را با دیگران به اشتراک نمیگذارد. این اشکالات همچنین نام کاربر، عکس نمایه، آدرس ایمیل و شماره تلفن مورد استفاده برای ورود به برنامه را نشان میداد.
این اشکالات به این معنی است که سرورهای iSharing به درستی بررسی نمیکنند که کاربران برنامه فقط به دادههای موقعیت مکانی خود یا اطلاعات موقعیت مکانی شخص دیگری که با آنها به اشتراک گذاشته شده است دسترسی داشته باشند.
برنامههای ردیابی موقعیت مکانی – از جمله برنامههای مخفی “stalkerware” – دارای سابقه مشکلات امنیتی هستند که خطر لو رفتن یا افشای مکان دقیق کاربران را به همراه دارد.
در این مورد، دایگل تنها چند ثانیه طول کشید تا این خبرنگار را تا چند فوتی پیدا کند. با استفاده از یک تلفن اندرویدی با برنامه iSharing نصب شده و یک حساب کاربری جدید، از محقق پرسیدیم که آیا میتواند مکان دقیق ما را با استفاده از باگها مشخص کند.
“770 برادوی در منهتن؟” دایگل به همراه مختصات دقیق دفتر TechCrunch در نیویورک از جایی که تلفن در حال پینگ کردن موقعیت خود بود، پاسخ داد.
دایگل دو هفته قبل جزئیات این آسیبپذیری را با iSharing به اشتراک گذاشته بود، اما چیزی نشنیده بود. این زمانی بود که دایگل از TechCrunch برای تماس با سازندگان اپلیکیشن کمک خواست. iSharing به زودی یا در آخر هفته 20 تا 21 آوریل اشکالات را برطرف کرد.
Yongjae Chuh، یکی از بنیانگذاران iSharing در ایمیلی به TechCrunch گفت: «ما از محقق برای کشف این مشکل سپاسگزاریم تا بتوانیم از آن جلوتر برویم. تیم ما در حال حاضر در حال برنامهریزی برای همکاری با متخصصان امنیتی برای افزودن هرگونه تدابیر امنیتی لازم برای اطمینان از محافظت از دادههای هر کاربر است.
iSharing این آسیبپذیری را به دلیل ویژگیهایی که گروهها مینامد، که به کاربران اجازه میدهد موقعیت مکانی خود را با سایر کاربران به اشتراک بگذارند، مقصر دانست. چو به TechCrunch گفت که گزارشهای شرکت نشان میدهد که هیچ مدرکی مبنی بر یافتن باگها قبل از کشف دایگل وجود ندارد. Chuh اعتراف کرد که “ممکن است در مورد ما نظارتی وجود داشته باشد”، زیرا سرورهای آن نتوانستند بررسی کنند که آیا کاربران مجاز به پیوستن به گروهی از کاربران دیگر هستند یا خیر.
TechCrunch انتشار این داستان را تا زمانی که دایگل آن را تایید کرد، متوقف کرد.
دایگل به TechCrunch گفت: «پیدا کردن نقص اولیه در مجموع احتمالاً یک ساعت یا بیشتر از باز کردن برنامه، کشف فرم درخواستها، و دیدن اینکه ایجاد یک گروه روی کاربر دیگری و پیوستن به آن کار میکند، فاصله داشت.
از آنجا، او چند ساعت دیگر را صرف ساخت یک اسکریپت اثبات مفهوم برای نشان دادن اشکال امنیتی کرد.
دایگل که این آسیبپذیریها را با جزئیات بیشتری در وبلاگ خود توضیح داده است، گفت که قصد دارد به تحقیق در زمینه ابزارهای مخرب و ردیابی مکان ادامه دهد.
در TechCrunch بیشتر بخوانید:
- یک برنامه ردیابی خانواده در حال افشای اطلاعات مکان واقعی بود
- در داخل TheTruthSpy، شبکه stalkerware که از هزاران نفر جاسوسی می کند
- تلفن اندرویدی شما میتواند نرمافزار استالکر داشته باشد. در اینجا نحوه حذف آن آمده است
- TechCrunch ابزار جستجوی جاسوس افزار TheTruthSpy را راه اندازی کرد
- جستجوهای “معکوس”: روشهای یواشکی که پلیس از غولهای فناوری برای اطلاعات خصوصی شما استفاده میکند
برای ارتباط با این خبرنگار با سیگنال و واتس اپ به شماره 8849-755-646 +1 یا از طریق ایمیل در تماس باشید. همچنین می توانید فایل ها و اسناد را از طریق SecureDrop ارسال کنید.