GPSの位置情報を利用するサービスのシステムに含まれる脆弱性のせいでユーザーのプライバシーが脅かされている
スマートフォン向けにGPSによる位置情報を利用した機能やサービスは多数ありますが、位置情報を追跡するオンラインサービスのシステムに含まれる脆弱性のせいで、ユーザーの位置情報とユーザーを特定する情報を、悪意のある第三者に収集される危険性があると警告されています。
Multiple vulnerabilities in the online services of (GPS) location tracking devices
https://0x0.li/trackmageddon/#advisories
セキュリティ専門家のVangelis Stykas氏とMichael Gruhn氏は、GPSを使った位置追跡機能を利用するオンラインサービスに存在する脆弱性に関する報告書「Trackmageddon」を公開しました。幼い子ども、ペット、自動車などの位置情報を追跡するために利用される位置情報サービスでは、端末から取得したジオロケーションデータを収集してデータベースを作り、さまざまな位置情報サービスを行います。しかし、二人の専門家によると、データベースを管理するオンライントラッキングサービスのシステムには脆弱性を含むものが多く、ユーザーの居場所を特定するデータを外部から収集される危険がある状態だとのこと。具体的には、「123456」などのあまりにも推測しやすい貧弱なパスワード設定、公開状態のフォルダ、安全でないAPIなどの問題を抱えているそうです。
Stykas氏らは、実際にシステムに脆弱性を抱えており攻撃対象になり得るトラッキングサービスに対してシステムに欠陥があることを通知しました。しかし、通知から数カ月たって再調査したところ、データ漏洩のリスクに対処した修正プログラムを適用したサービスはわずかに数個にとどまり、他のサービスは依然として情報漏洩の危険がある状態で放置されているそうです。
ということで、Trackmageddonでは問題あるトラッキングサービスを名指しで公開しています。これは、脆弱性を含むことを指摘することで、サービス提供者に対応を促すのが狙いだとのこと。
◆修正によって脆弱性が解消されたサービス
・https://www.one2trackgps.com(2017年11月27日修正)
・http://kiddo-track.com(2017年11月27日修正)
・http://www.amber360.com(2017年11月27日修正)
・http://tr.3g-elec.com(2017年12月18日修正、サブドメインを削除)
・http://manage.5gcity.com(2018年1月4日修正)
・http://grapi.5gcity.com(2018年1月4日修正)
◆おそらく修正されたサービス(ただし修正済みの報告なし)
・http://www.nikkogps.com(2017年11月30日にドメインが消滅)
・http://www.igps.com.my
・http://app.gpsyeah.com(API利用制限)
・http://gps.nuoduncar.com(コード500エラー)
・http://hytwuliu.cn (サーバータイムアウト)
・http://www.tourrun.net(サーバータイムアウト)
・http://vnetgps.net (APIが空データに変更)
・http://www.999gpstracker.com
・http://www.trackerghana.com
・http://www.suntrackgps.com
・http://www.sledovanivozidel.eu
・http://www.response1gps.com
・http://www.inosiongps.com
・http://www.carzongps.com
◆修正対応中のサービス
・http://wagps.net(依然としてAPIへアクセス可能)
・http://www.wagps.net(依然としてAPIへアクセス可能)
・http://love.iotts.net(依然としてAPIへアクセス可能)
◆脆弱性を抱えたままのサービス
・http://www.gps958.com
・http://m.999gps.net
・http://www.techmadewatch.eu
・http://www.jimigps.net
・http://www.9559559.com
・http://www.goicar.net
・http://www.tuqianggps.com
・http://vitrigps.vn
・http://www.coogps.com
・http://greatwill.gpspingtai.net
・http://www.cheweibing.cn
・http://car.iotts.net
・http://carm.gpscar.cn
・http://watch.anyixun.com.cn
・http://www.007hwz.com
・http://www.thirdfang.com
・http://www.wnxgps.cn
・http://binding.gpsyeah.net
・http://chile.kunhigps.cl
・http://portal.dhifinder.com
・http://www.bizgps.net
・http://www.gpsmarvel.com
・http://www.mygps.com.my
・http://www.mygpslogin.net
・http://www.packet-v.com
・http://login.gpscamp.com
・http://www.tuqianggps.net
・http://tuqianggps.net
・http://www.dyegoo.net
・http://tracker.gps688.com
・http://www.aichache.cn
・http://gtrack3g.com
・http://www.ciagps.com.tw
・http://www.fordonsparning.se
・http://www.gm63gps.com
・http://yati.net
・http://www.mytracker.my
・http://www.istartracker.com
・http://www.twogps.com
・http://www.gpsyue.com
・http://www.xmsyhy.com
・http://www.icaroo.com
・http://mootrack.net
・http://spaceeyegps.com
・http://www.freebirdsgroup.com
・http://www.gpsmitramandiri.com
・http://www.silvertrackersgps.com
・http://www.totalsolutionsgps.com
・http://567gps.com
・http://gps.tosi.vn
・http://gps.transport-duras.com
・http://thietbigps.net
・http://mygps.co.id
・http://www.gpsuser.net
・http://www.mgoogps.com
・http://www.gpscar.cn
・http://www.aichache.net
・http://www.gpsline.cn
・http://2.tkstargps.net
・http://ephytrack.com
・http://www.squantogps.com
・http://www.tkgps.cn
・http://vip.hustech.cn
・http://www.blowgps.com
・http://www.zjtrack.com
・http://fbgpstracker.com
・http://gps.gpsyi.com
・http://www.crestgps.com
・http://www.spstrackers.com
・http://en.gps18.com
・http://en.gpsxitong.com
・http://gps18.com
・http://en2.gps18.com
・http://ry.gps18.com
・http://www.ulocate.se
・http://classic.gpsyeah.com
・http://www.gpsyeahsupport.top
・http://gpsui.net
・http://vmui.net
GPS位置情報は端末から取得できるユーザー情報と結びつけることでユーザーのプライバシーに及ぼす影響が大きいため、GPSトラッキング機能を使ったサービスを利用する場合には、ユーザー側からも自己防衛をすることは重要です。そのため、報告書ではデフォルトで「123456」にパスワード設定されているサービスが多いので、ユーザーが再設定する必要性を訴えています。また、依然として脆弱性が放置されているサービスの利用者はできるだけデータを削除することを推奨しています。
・関連記事
スマホのGPSオフでもバッテリーの減り方から居場所を特定できることが判明 - GIGAZINE
GPS衛星でエラーが発生、複数企業で12時間ものシステムエラー発生の原因に - GIGAZINE
CIAがどうやってあなたのノートPCの位置を知るのかという手法がWikiLeaksによって暴露される - GIGAZINE
NSAは1日で全世界50億台の携帯電話の現在地を追跡していることが判明 - GIGAZINE
GPSを使った距離測定が誤差から逃れられない理由が数式で証明される - GIGAZINE
GPSより精度の高い衛星航法システム「ガリレオ」の運用がスタート - GIGAZINE
GPSなしでのナビを実現する超小型チップをDARPAが開発 - GIGAZINE
異様にぬるぬる動く台風など「ひまわり8号」がどれだけパワーアップしたかがよくわかるムービーいろいろ - GIGAZINE
【訃報】「GPSの父」と呼ばれたロジャー・イーストン氏が93歳で死去 - GIGAZINE
・関連コンテンツ