Z systemów lokalizacji powszechnie korzystają firmy transportowe. Dzięki specjalnym urządzeniom można śledzić położenie samochodów, ciężarówek, pojedynczych kontenerów, ale również statków, samolotów, a nawet ludzi. Ten sam system używany jest do zdalnego monitorowania działania ważnych instalacji – otwarcia zaworów rurociągów czy temperatury urządzeń przemysłowych.
Teraz Colby Moore z firmy Synack odkrył, że system ten, łączący satelitarny GPS oraz komunikacyjny Globalstar, jest praktycznie niezabezpieczony. Moore samodzielnie wykonał prosty odbiornik oraz urządzenie do przechwytywania i fałszowania sygnałów wysyłanych przez lokalizatory. Kosztowało go to nieco ponad tysiąc dolarów. Swoje spostrzeżenia przedstawi podczas trwających w Las Vegas konferencji BlackHat i Def Con.
Jak działa taki system? Oferowany przez Globalstar system lokalizacji (tzw. trackingu) składa się z urządzenia z odbiornikiem GPS oraz nadajnika satelitarnego przekazującego niewielką ilość danych. Trackery mają zwykle wielkość pudełka papierosów, mogą być nawet zasilane zwykłymi bateriami. Gdy odbiornik GPS ustali położenie trackera, a co za tym idzie ładunku, do którego tracker jest przytwierdzony, wysyła te informacje przez system łączności satelitarnej Globalstar. Działa to praktycznie na całym świecie – nie jest wymagany zasięg sieci komórkowej.
Lista firm używających tego systemu (oferowany jest przez spółkę Geoforce) jest imponująca – BP, Halliburton, Petrobras, GE Oil & Gas, Chevron, Conoco Philips. Na całym świecie działa kilkaset tysięcy lokalizatorów tego systemu.
Podobne urządzenia mają też w wyposażeniu podróżnicy, piloci, żeglarze, którzy poruszają się w terenie pozbawionym zasięgu sieci komórkowej. Gdy zaginą, służby ratownicze mogą w ciągu kilku chwil ustalić położenie lokalizatora – i jego posiadacza.
Komunikacja przenośnego lokalizatora z satelitą jest wprawdzie szyfrowana, ale kod ten jest taki sam dla wszystkich urządzeń i jego złamanie to dla hakerów pestka. W dodatku przebiega w jedną stronę (od trackera na orbitę), a zatem nie ma sposobu, aby automatycznie zweryfikować prawdziwość danych.