Threat Research

Avast découvre des failles de sécurité dans les systèmes de suivi des enfants par GPS

Threat Intelligence Team, 9 septembre 2019

Des chercheurs avertissent les consommateurs de vulnérabilités affectant près de 30 modèles proposés à la vente par de grands détaillants en ligne.

Les chercheurs d’Avast ont découvert de sérieuses vulnérabilités en matière de sécurité dans quelque 600 000 traqueurs d’enfants en vente sur Amazon.com et autres grands marchands en ligne. Les appareils exposent les données envoyées sur le cloud, y compris les coordonnées GPS exactes et en temps réel des enfants.

Vingt-neuf modèles de traceurs - fabriqués par le fabricant chinois Shenzhen i365 Tech et revendus sous différentes marques - ont montré les vulnérabilités. L'équipe du laboratoire des menaces d'Avast a d'abord analysé le traceur T8 Mini et a découvert que l'application mobile associée était téléchargée à partir d'un site Web non sécurisé, exposant ainsi les informations des utilisateurs. D'autres problèmes de sécurité concernaient les informations de compte d'utilisateur, qui sont associées à un numéro d'identification et à un mot de passe par défaut de 123456. Les défauts de conception des outils de suivi peuvent également permettre à des tiers de « falsifier » (ou de simuler) l'emplacement de l'utilisateur, ou d'accéder au microphone à des fins d'écoute. 

Martin Hron, chercheur senior chez Avast, a dirigé cette étude et conseille aux consommateurs d’opter pour un produit alternatif d’une marque plus fiable, qui intègre la sécurité dans la conception du produit. Comme avec tout appareil « intelligent » disponible dans le commerce, Avast recommande de remplacer les mots de passe administrateur par défaut par des mots plus complexes. Toutefois, dans le cas actuel, même cela n’empêcherait pas un pirate informatique déterminé d’intercepter le trafic non chiffré. 

« Nous avons fait preuve de responsabilité en communiquant ces vulnérabilités au fabricant, mais comme nous n'avons pas eu de nouvelles après un délais raisonnable, nous publions maintenant cette annonce à l'intention des consommateurs et nous vous conseillons vivement de cesser d'utiliser ces dispositifs » déclare Martin Hron. Les chercheurs estiment que ces problèmes de sécurité liés aux objets connectés vont bien au-delà d'un fournisseur unique. Cinquante applications mobiles sur Google Play et sur iOS App Store partagent la même plate-forme non chiffrée évoquée ci-dessus.    

Écoutez Martin Hron, chercheur, senior chez Avast, et Leena Elias, responsable de la livraison des produits discuter de ce problème.

Leena Elias invite grandement le public à faire preuve de prudence lorsqu'il introduit des appareils connectés bon marché ou imitateurs à la maison. « En tant que parents, nous sommes enclins à adopter une technologie qui garantira la sécurité de nos enfants, mais nous devons être avisés des produits que nous achetons », a-t-elle déclaré. 

Pour une analyse détaillée des failles de sécurité détectées concernant le traceur GPS T8 Mini, visitez le blog technique Avast Decoded.