Pesquisa de Ameaças

Falhas de segurança generalizadas em rastreadores GPS de crianças e idosos | Avast

Threat Intelligence Team, 9 Setembro 2019

Pesquisadores alertam os consumidores sobre vulnerabilidades que afetam cerca de 30 modelos vendidos nas grandes lojas online.

Pesquisadores da Avast descobriram graves falhas de segurança em cerca de 600.000 rastreadores de crianças e idosos que estão sendo vendidos na Amazon.com e outras grandes lojas online. Os dispositivos expõem os dados enviados para a nuvem, incluindo as coordenadas GPS exatas em tempo real, usadas para monitorar crianças ou idosos.

Vinte e nove modelos de rastreadores – fabricados pela chinesa Shenzhen i365 Tecnologia e revendidos sob várias marcas – apresentaram vulnerabilidades. O Laboratório de Ameaças da Avast analisou pela primeira vez o rastreador de crianças T8 Mini e descobriu que o aplicativo móvel que o gerencia é baixado de um site inseguro, expondo as informações dos usuários. Outra falha de segurança nas contas dos usuários é que usam um número de senha padrão: 123456. Falhas de projeto nos rastreadores também podem permitir que terceiros falsifiquem a localização dos usuários (permitindo sequestros) ou acessem o microfone para espioná-los e obterem outros dados para futuros golpes.

Martin Hron, pesquisador sênior da Avast que liderou esta pesquisa, aconselha os consumidores a optarem por um produto alternativo de marcas mais confiáveis que incluam segurança no projeto do produto. Como acontece com qualquer dispositivo inteligente, a Avast recomenda alterar a senha padrão do administrador para uma mais complexa. No entanto, neste caso, mesmo tomando essa precaução básica de segurança, não conseguirá impedir que um cibercriminoso dedicado intercepte o tráfego não criptografado do dispositivo.

“Nós fizemos a nossa parte divulgando essas vulnerabilidades para o fabricante, mas depois de aguardar o período padrão nesses casos, estamos emitindo este alerta público e recomendando fortemente que os consumidores parem de usar esses dispositivos”, disse Hron. Os pesquisadores acreditam que essas questões de segurança da Internet das Coisas (IoT) vão muito além do âmbito de um único fornecedor. Cinquenta aplicativos móveis tanto na Google Play quanto na iOS App Store compartilham essa mesma plataforma sem criptografia descrita acima.

Ouça o pesquisador sênior da Avast, Martin Hron, e a Chefe de Entrega de Produto, Leena Elias, discutirem este caso com o blog da Avast (em inglês)

Leena Elias, Chefe de Entrega de Produto na Avast, recomenda que as pessoas tomem cuidado ao trazer dispositivos inteligentes baratos ou recebidos de brinde para dentro de casa. “Como pais, estamos inclinados a abraçar a tecnologia que promete ajudar a manter nossas crianças seguras, mas temos de saber sobre a segurança dos produtos que estamos comprando”, disse ela.

Para um mergulho profundo na análise das falhas de segurança encontradas no rastreador T8 Mini GPS, visite o blog de Inteligência de Ameaças da Avast, o Decoded.