GPS-Tracking-Services ermöglichen unbefugten Zugriff

Garmin fenix 7X und epix Gen 2 im Test

Der Schwerpunkt dieses Tests und Vergleichs der Garmin Fenix 7X Solar und Garmin Epix Gen 2 liegt auf den Sensoren wie Höhenmesser, Positionsbestimmung und Herzfrequenz. Was unterscheidet die beiden GPS-Outdoor-Smartwatches? Und wie gut ist die Taschenlampe der Fenix 7X für den Outdoorbereich? Hier geht es zum Test der Outdoor-Smartwatches ...
  • Meldung von heise.online


    Sicherheitsforscher haben Schwachstellen in zahlreichen Online-Tracking-Services entdeckt, die Angreifern unter anderem das Abrufen von GPS-Daten ermöglichen. Eine Liste der verwundbaren Services ist online verfügbar.


    Mehr als 100 Online-Tracking-Services enthalten Schwachstellen, die Angreifern unter bestimmten Umständen Zugriff auf sämtliche mit ihnen verknüpfte GPS-Tracker gewähren. Betroffen ist eine Vielzahl ganz unterschiedlicher GPS-fähiger Geräte wie beipielsweise Smartphones mit Tracking-Apps, Ortungsgeräte für Fahrzeuge oder Wearables für Kinder.


    Die auf den Namen "Trackmageddon" getaufte Sicherheitslücken-Sammlung haben Sicherheitsforscher detailliert auf einer eigens dafür eingerichteten Webseite beschrieben. Sie reicht von offen zugänglichen Verzeichnisstrukturen auf Webservern über unsichere Default-Passwörter bis hin zu offengelegten API-Funktionen, die eine unbefugte Steuerung der Tracking-Dienste ermöglichen.


    Was kann passieren?
    Via Trackmagedon sollen Angreifer unter anderem Geolokalisierungsdaten sowie Informationen über beliebige Tracker wie beispielsweise deren Modellbezeichnung oder die International Mobile Station Equipment Identity (IMEI) abrufen können. In zwei Fällen gelang es den Forschern gar, Chroniken zuletzt besuchter Orte abzurufen, Befehle via SMS zu versenden und den Geofencing-Alarm der mit den Services gekoppelten Geräte auszulösen.


    Personenspezische Informationen sollen nicht direkt abrufbar sein, so dass keine direkten Rückschlüsse auf die Identität eines Nutzers gezogen werden können.


    Was Nutzer tun sollten
    Das Forscher-Team hat eine Liste aller betroffenen Services und Geräte veröffentlicht, um Nutzer vor den Schwachstellen zu warnen. Nach eigenen Angaben ließen sie den Tracking-Service-Betreiber im Vorfeld ausreichend Zeit , um die Lücken zu schließen. Allerdings hätten nur wenige von ihnen reagiert. Das verdeutlicht auch die (sehr kurze) Auflistung der "fixed" und "maybe fixed" Services auf der Trackmageddon-Webseite.


    https://0x0.li/trackmageddon/


    Nutzern mittlerweile abgesicherter Tracking-Services raten die Sicherheitsforscher zur umgehenden Passwortänderung. Geräte beziehungsweise Anwendungen, dir mit noch immer ungefixten Services kommunizieren, sollten grundsätzlich nicht mehr verwendet werden; zudem ist es ratsam, dort hinterlegte Informationen zeitnah zu löschen. (ovw