Analýzy hrozeb

Tisíce GPS lokátorů mají chybu, prozrazují polohu uživatelů včetně dětí

Threat Intelligence Team, 6. září 2019

Bezpečnostní chyby ve 30 modelech analyzovaných GPS lokátorů nejen zveřejňují polohu dětí, seniorů či majetku, ale umožní i poslat SMS zprávu nebo zatelefonovat.

Avast nalezl vážné bezpečnostní nedostatky v zařízeních T8 Mini GPS tracker a v dalších téměř třiceti modelech téhož výrobce, Shenzhen i365 Tech. Tato zařízení, která mají chránit děti, seniory, domácí mazlíčky nebo i majetek, zveřejňují veškerá sbíraná data odesílaná do cloudu, včetně přesných GPS souřadnic v reálném čase. Kromě toho mohou výrobní nedostatky umožnit třetím stranám zneužít polohových dat nebo odposlech mikrofonu. Výzkumníci z laboratoří Avast Threat Labs odhadují, že celosvětově se takto používá na 600 000 nechráněných lokátorů. Bezpečnostní nedostatky IoT zařízení nekončí u tohoto jediného dodavatele.

Bezpečnostní expert Avastu, Martin Hron, který výzkum vedl, radí kupujícím těchto produktů, aby si vybírali raději alternativu od důvěryhodnějších značek, které mají produkty s vestavěným zabezpečením, konkrétně pak bezpečné přihlášení a silné šifrování dat. Stejně jako u jakéhokoli běžného zařízení doporučujeme změnit výchozí heslo na něco složitějšího; v tomto případě však ani to nezabrání odhodlanému útočníkovi proniknout do nešifrovaného datového toku. „Když jsme zjistili všechny tyto chyby, snažili jsme se je sdělit přímo samotnému výrobci. Protože však ve standardní době nezareagoval, rozhodli jsme se naše poznatky předat přímo zákazníkům. Důrazně proto doporučujeme, abyste tato zařízení přestali používat,” říká Hron.

Nástrahy hned po rozbalení

Tým Avast Threat Labs nejdříve analyzoval proces počátečního nastavení, podle kterého si stáhnul přidruženou mobilní aplikaci z webu http://en.i365gps.com/ - který překvapivě používá pouze protokol HTTP a nikoliv bezpečnější protokol HTTPS. Uživatel se následně může přihlásit do svého účtu s přiřazeným identifikačním číslem a pomocí velmi generického defaultního hesla „123456.“ I heslo je pak přenášeno přes nechráněný protokol HTTP.  

Identifikační číslo je navíc odvozeno od mezinárodní identifikace mobilního zařízení (International Mobile Equipment Identity - IMEI), takže bylo pro tým snadné předvídat možná identifikační čísla jiných lokátorů od stejného výrobce. V kombinacI s fixně daným heslem by bylo pravděpodobně celkem snadné se dostat do všech zařízení, jejichž identifikační čísla jsou také odvozena od IMEI. 

Nic není šifrované

Pomocí jednoduchého nástroje pro vyhledávání příkazů výzkumníci zjistili, že všechny požadavky pocházející z webové aplikace lokátoru jsou přenášeny v nešifrovaném prostém textu. Alarmující je také to, že zařízení může vydávat příkazy nad rámec zamýšlených použití GPS lokátoru, například:

  • zavolat na telefonní číslo a umožnit třetí straně tajně odposlouchávat přes mikrofon lokátoru

  • poslat SMS zprávu, což by mohlo být použito k identifikaci telefonního čísla zařízení a SMS zpráva by tak mohla být použita k útoku 

  • použít SMS k přesměrování komunikace ze zařízení na alternativní server za účelem získání plné kontroly nad zařízením nebo sledování informací zasílaných do cloudu

  • sdílet URL adresu lokátoru, což umožní vzdálenému útočníkovi do zařízení umístit nový firmware, aniž by se jej dotkl, což by mohlo zcela změnit funkce zařízení nebo do něj umístit zadní vrátka

Navíc doprovodná mobilní aplikace AIBEILE (na Google Play i App Store) komunikuje s cloudem prostřednictvím nestandardního HTTP portu, TCP: 8018, a posílá nezašifrovaný prostý text do koncového bodu. Když výzkumníci Avastu rozebrali samotné zařízení, aby mohli analyzovat komunikaci s cloudem, potvrdilo se, že data znovu putují nešifrovaná ze sítě GSM na server bez jakéhokoliv oprávnění.

Co by si uživatelé měli z výzkumu odnést

Kromě tohoto konkrétního zkoumaného zařízení identifikoval Avast dalších 29 modelů sledovačů GPS s bezpečnostními chybami - většina z nich je od stejného dodavatele - stejně jako 50 mobilních aplikací, které používají nešifrovanou platformu zmíněnou výše. Výzkumníci zároveň odhadují, že existuje více než 600 000 zařízení s výchozími hesly „123456“ a stahováním více než 500 000 mobilních aplikací. Opakovaná upozornění výrobce o nedostatcích v zařízeních doposud zůstala bez odpovědi. 

Expertka na mobilní bezpečnost z Avastu, Leena Elias, vyzývá uživatele, aby byli opatrní s využíváním levných variant chytrých zařízení v domácnostech. „Jako rodiče máme sklon důvěřovat technologiím, které slibují ochranu našich dětí. Vždy ale musíme mít dobrý přehled o výrobcích, které kupujeme,“ upozorňuje a dodává: „Dejte si pozor na všechny výrobce, kteří nesplňují minimální bezpečnostní standardy nebo nemají certifikáty či potvrzení třetích stran. Nakupujte jen takové značky, kterým důvěřujete, že vaše data ochrání – vyšší cena stojí za to mít jistotu.“ 

Pro podrobnější analýzu bezpečnostních nedostatků nalezených v zařízení T8 Mini GPS tracker navštivte blog Avast Decoded. V tomto videu můžete vidět Martina a Leenu rozebírat, co tyto bezpečnostní chyby mohou znamenat pro rodiče.