image

Gps-trackingapp iSharing lekte locatiegegevens miljoenen gebruikers

woensdag 24 april 2024, 16:58 door Redactie, 0 reacties

De gps-trackingapp iSharing heeft als gevolg van een IDOR-kwetsbaarheid van miljoenen gebruikers de locatie- en persoonsgegevens gelekt. Via iSharing kunnen gebruikers locatiegegevens delen en de locaties van andere gebruikers bekijken. Volgens de makers is het vooral bedoeld voor ouders die willen weten waar hun kinderen zich bevinden. De Androidversie heeft meer dan tien miljoen downloads.

De IDOR-kwetsbaarheid zorgde ervoor dat appgebruikers niet alleen van zichzelf de locatie konden bekijken, of personen die hun toegang hadden gedeeld, maar van iedereen. Naast locatie ging het ook om naam, profielfoto, e-mailadres en telefoonnummer waarmee gebruikers op de app inlogden. De servers van iSharing bleken niet goed te controleren of een gebruiker wel toegang tot opgevraagde gegevens had. De enige vereiste hiervoor was het opgeven van een gebruikers-ID, dat opeenvolgend lijkt te zijn, aldus onderzoeker Eric Daigle.

Volgens Daigle gaat het om een IDOR-kwetsbaarheid. IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Zo kan een gebruiker door het aanpassen van bepaalde data toegang tot de gegevens van andere gebruikers krijgen. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor. Het probleem is afgelopen weekend verholpen, zo meldt TechCrunch.

Nog geen reacties
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.