Trackmaggedon: honderden gps-trackers lekken locatiegegevens

De onderzoekers hebben een lijst met kwetsbare websites gepubliceerd, zodat gebruikers zelf hun data kunnen beveiligen.

|
05 januari 2018, 11:13am

Het is geen geheim dat zowel internet-of-things-apparaten als online databases regelmatig hartstikke onveilig zijn. In Nederland alleen al worden er dagelijks 30 datalekken bij de Autoriteit Persoonsgegevens gemeld. En afgelopen zomer nam de Tweede Kamer nog met bijna volledige unanimiteit (alleen Forum voor Democratie was tegen) een motie aan om maatregelen te nemen tegen de vaak slecht beveiligde apparaten die aan het internet hangen. Een goede beslissing en de motie leverde ook nog eens deze prachtige zin op: “Niemand zit te wachten op een massale cyberaanval via gehackte waterkokers of koelkasten.”

Deze week was de beurt aan online databases vol met persoonsgegevens van het internet of things. Afgelopen week werd het toepasselijk getitelde veiligheidsrapport ‘Trackmaggedon’ gepubliceerd door beveiligingsexperts Vangelis Stykas en Michael Gruhn. Hieruit blijkt dat een hoop gps-tracking-diensten – online diensten die o.a. de locatiegegevens van smart devices opslaan – verschrikkelijk kwetsbaar zijn. Zo maken de diensten bijvoorbeeld gebruik van ontzettend makkelijke wachtwoorden als 123456 en open API’s (Application Programming Interface) waarmee organisaties hun gegevens openstellen voor systemen van derde partijen via het internet. Hierdoor is het voor iemand met slechte intenties relatief gemakkelijk om aan gevoelige informatie te komen.

Deze diensten zijn namelijk in principe simpele databases die locatiedata verzamelen van veelvoorkomende producten zoals gps-trackers of smart devices met gps-functie; bijvoorbeeld huisdier-, auto- of kindertrackers. Door de kwetsbaarheden komen persoonsgegevens, zoals gps-coördinaten, telefoonnummers, serienummers en mogelijk zelfs persoonlijke data van gebruikers in gevaar.

Het team onderzocht deze kwetsbaarheden al sinds november maar dit leverde helaas maar weinig actie van de websitebeheerders op. Op het moment van schrijven zijn er slechts zes site gerepareerd. Daarnaast zijn er vijftien online diensten die wellicht nog kwetsbaar zijn (de websites lijken niet meer kwetsbaar, maar dit is niet bevestigd) en nog rond de tachtig kwetsbare websites.

De kwetsbaarheden zitten niet in smart devices of andere producten, maar in de servers van de websites waaraan ze linken.

Een van die kwetsbare websites is bijvoorbeeld ‘gpsui.net’ dat minimaal zo’n 615,817 verschillende GSM- and gps-location-tracking-apparaatjes beheert. Enkele van deze producten hebben een microfoonfunctie, waardoor het mogelijk is om het gekoppelde apparaat af te luisteren en het apparaat te laten bellen naar zekere (betaalde) telefoondiensten.

Het is onduidelijk welke gps-trackers of smart devices met gps functie precies linken aan de kwetsbare websites. De kwetsbaarheden zitten namelijk niet in smart devices of andere producten, maar in de servers van de websites waaraan ze linken. gps-producten kunnen verbonden zijn aan verschillende servers en kunnen wisselen van server als ze opnieuw verkocht worden. Dat een gps-product nu verbonden is met een kwetsbare of juist veilige server, betekent niet dat dit in de toekomst nog steeds het geval is.

Screenshot van een van de kwetsbare website. Beeld via: http://www.gps958.com/

Tijdens tests met een Mini A8 Global tracker – die je voor een kleine 17 euro op Bol.com kunt kopen (twee sterren) – bleek deze in verschillende instanties aan verschillende servers te verbinden. Een van deze websites is ‘gps958.com’, een kwetsbare website, waarop het mogelijk is om de locatiegeschiedenis van gebruikers te zien, opdrachten te sturen naar het apparaat dat met de service is verboden is om een alarm voor ‘geofencing’ (een alarm dat afgaat als een iemand een aangegeven verboden gebied betreedt) aan en uit te zetten. Normaal doet de gebruiker dit per SMS. Allemaal zonder dat de website om verificatie vraagt.

De reden dat producenten van smart devices vaak gebruik maken van dergelijke online gps-trackingdiensten is om gemakkelijk gps-functies in hun producten te kunnen installeren, zonder zelf daar veel geld aan uit te geven. Stel dat je bijvoorbeeld een schoen met gps-functie op de markt wilt brengen, dan verzorgt zo’n online gps-trackingsdienst dat die gps-functie van je schoen ondersteunt wordt en hoef jij alleen te regelen dat er een gps apparaatje in schoen terecht komt. Waar je gps-schoen (en dus waarschijnlijk zijn drager) zich bevindt, is bekend in een database bij de trackingdienst. Als deze informatie slecht beveiligd wordt, dan kan iemand met slechte bedoeling die toegang heeft tot die database, dus zien waar je schoen (en dus jij) zich op dat moment bevindt. Niet echt ideaal.

“We zijn openbaar gegaan omdat het risico dat iemand je locatiedata in handen krijgt en hij dus elke keer weet waar je bent als je apparaat aanstaat, veel gevaarlijk is dan als iemand weet waar je in het verleden was.”

Het probleem is niet helemaal nieuw. Al in 2015 liet de Nieuw-Zeelandse hacker Lachlan Temple tijdens Kiwicon, een computer-beveiligingsconferentie in Nieuw-Zeeland, zien dat er ernstige problemen waren met een populaire gadget van het Chinese bedrijf ThinkRace waarmee je je auto kon tracken en blokkeren. De lekken zouden hackers in staat stellen om op afstand een auto te lokaliseren, af te luisteren en in sommige g“We zijn openbaar gegaan omdat het risico dat iemand je locatiedata in handen krijgt en hij dus elke keer weet waar je bent als je apparaat aanstaat, veel gevaarlijk is dan als iemand weet waar je in het verleden was.evallen zelfs de brandstoftoevoer af te kappen. Hetzelfde bedrijf lijkt ook nu de bron van de problemen te zijn. ThinkRace heeft de originele (kwetsbare) trackingsoftware ontworpen en die doorverkocht aan andere partijen. Helaas beheert het Chinese bedrijf maar enkele van de kwetsbare websites zelf. Ze hebben hun eigen websites ondertussen wel gerepareerd, maar andere partijen hebben dat nog niet allemaal gedaan.

De onderzoekers hebben daarom een lijst met kwetsbare websites gepubliceerd, zodat gebruikers zelf hun data kunnen beveiligen of verwijderen. “Ons morele dilemma was dat gebruikers hun locatiegeschiedenis niet kunnen verwijderen. Dat kunnen alleen de verkopers,” vertelde Gruhn aan techsite Bleeping Computer. “We zijn openbaar gegaan omdat het risico dat iemand je locatiedata in handen krijgt en hij dus elke keer weet waar je bent als je apparaat aanstaat, veel gevaarlijk is dan als iemand weet waar je in het verleden was.” Gebruikers kunnen zich nu beschermen door de apparaten bijvoorbeeld niet te gebruiken – ook al blijft hun locatiegeschiedenis kwetsbaar omdat de tracking-diensten dat niet oplossen.”

Stykas en Gruhn hebben ook een reeks tips voor gebruikers om verdere lekken te voorkomen (tl;dr: stop met het gebruiken van apparaten die gebruik maken van de kwetsbare websites en verwijder zo veel mogelijk data).

Check tips en de lijst met kwetsbare diensten hier.