Что, если технология предназначена для обеспечения безопасности ваших детей, пожилых людей и домашних животных, даже если они вне поля зрения непреднамеренно подвергают их преследователям?
Приблизительно 600 000 устройств GPS-отслеживания для продажи на Amazon и другие крупные онлайн-продавцы за 25–50 долларов были признаны уязвимыми для нескольких опасных уязвимостей, которые могут подвергать пользователя воздействию местоположений в реальном времени, утверждают исследователи в области безопасности.
Исследователи кибербезопасности из Avast обнаружили, что 29 моделей GPS-трекеров изготовлены китайской технологической компанией Шэньчжэнь i365 для хранения вкладок на маленьких детей, пожилых родственников и домашних животных содержат ряд уязвимостей безопасности.
Более того, все более полумиллиона устройств отслеживания были отправлены с тем же паролем по умолчанию «123456», что дало возможность злоумышленникам легко получить доступ к информации об отслеживании для тех, кто никогда не менял пароль по умолчанию.
Уязвимости в устройствах GPS слежения
Обнаруженные уязвимости устройства GPS-отслеживания могут позволить удаленным злоумышленникам, имеющим только подключение к Интернету:
- отслеживать в режиме реального времени GPS-координаты владельца устройства,
- фальсифицировать данные о местоположении устройства, чтобы получить неточное чтение, и
- получить доступ к микрофону устройства для прослушивания.
Большинство обнаруженных уязвимостей основаны на том факте, что связь между «GPS-трекерами и облаком», «Облаком и сопутствующими мобильными приложениями устройства» и «Пользователями и веб-приложением устройства» – все используют незашифрованный текстовый протокол HTTP. , позволяя злоумышленникам MiTM перехватывать обмен данными и выдавать несанкционированные команды.
«Все сообщения в веб-приложении передаются по протоколу HTTP. Все запросы JSON снова незашифрованы и находятся в незашифрованном виде», – объясняют исследователи в подробном отчете.
«Вы можете заставить трекер звонить по произвольному номеру телефона и, после подключения, вы можете прослушивать через трекер другую сторону без их ведома. Связь – это текстовый протокол, и самое главное – отсутствие авторизации. работает только путем идентификации трекера по его IMEI. "
Следите за местоположением GPS в режиме реального времени с помощью SMS
Помимо этого, исследователи также обнаружили, что удаленные злоумышленники могут также получать GPS-координаты целевого устройства в режиме реального времени, просто отправив SMS-сообщение на номер телефона, связанный с SIM-картой (вставленной в устройство), которая предоставляет DATA + SMS-возможности для устройства. ,
Хотя для осуществления этой атаки злоумышленникам сначала нужно знать соответствующий номер телефона и пароль трекера, исследователи говорят, что можно использовать недостатки, связанные с облачными / мобильными приложениями, чтобы дать команду трекеру отправить SMS на произвольный номер телефона от своего имени, что позволяет злоумышленник, чтобы получить номер телефона устройства.
Теперь, когда доступ к номеру телефона и паролю устройства составляет «123456» практически для всех устройств, злоумышленник может использовать SMS в качестве вектора атаки.
Анализ T8 Mini GPS Tracker Locator исследователями также показал, что его пользователи были направлены на незащищенный веб-сайт, чтобы загрузить сопутствующее мобильное приложение для устройства, обнародовав информацию пользователей.
Более полумиллиона людей используют уязвимые GPS-трекеры
Уязвимые модели GPS-трекеров включают T58, A9, T8S, T28, TQ, A16, A6, 3G, A18, A21, T28A, A12, A19, A20, A20S, S1, P1, FA23, A107, RomboGPS, PM01, A21P PM02, A16X, PM03, WA3, P1-S, S6 и S9.
Хотя производитель этих GPS-трекеров, Shenzhen i365, базируется в Китае, анализ Avast показал, что эти GPS-трекеры широко используются в Соединенных Штатах, Европе, Австралии, Южной Америке и Африке.
Исследователи сообщили, что 24 июня он в частном порядке уведомил поставщика о критических уязвимостях системы безопасности и несколько раз обращался в компанию, но так и не получил ответа.
Мартин Хрон, старший научный сотрудник Avast, сказал:
«Мы проявили должную осмотрительность при раскрытии этих уязвимостей производителю, но, поскольку мы не получили ответа по прошествии стандартного промежутка времени, мы сейчас публикуем это объявление о публичном обслуживании для потребителей и настоятельно рекомендуем вам прекратить использование этих устройств». "
Исследователи также посоветовали людям сделать часть своих исследований и выбрать защищенное устройство от уважаемого поставщика, а не покупать какое-либо дешевое оборудование от неизвестной компании на Amazon, eBay или другие онлайн-рынки.
Add comment