GPS-трекеры, предназначенные для детей и пожилых людей, имеют уязвимости, которые позволяют любому прослушивать владельца или получить его данные.
Наши специалисты обнаружили серьезные уязвимости в GPS-трекере T8 mini от компании Shenzhen i365 Tech. Исследователи нашли уязвимости и в других моделях этого производителя: всего 30 трекеров имеют проблемы с безопасностью, в том числе устройства для обеспечения безопасности детей, пожилых людей, домашних животных и имущества.
Вместо этого трекеры позволяют третьим лицам получить все данные из облака, включая точные GPS-координаты, в режиме реального времени. Кроме того, злоумышленники могут подделать местоположение или получить доступ к микрофону для прослушивания.
По подсчету экспертов Avast Threat Labs, в мире используется около 600 000 незащищенных трекеров. При этом специалисты подчеркивают, что проблемы безопасности IoT-устройств выходят далеко за пределы продукции одного поставщика.
Мартин Хрон, специалист по безопасности компании Avast, руководивший этим исследованием, советует при выборе GPS-трекера рассматривать продукты от бренда, который более внимательно относится к безопасности своих устройств. Важно, чтобы решения по безопасности были уже встроены в продукт, особенно это касается сложных паролей и надежного шифрования данных.
Для умных устройств существует общее правило: обязательно изменить стандартные пароли по умолчанию на более сложные. В случае гаджетов данного производителя даже такие меры безопасности не помешают злоумышленнику перехватить зашифрованный трафик.
«Мы всегда внимательно относимся к раскрытию уязвимостей. Сначала мы оповещаем производителя о найденных проблемах, но в этом случае мы не получили ответа на наши письма по истечении стандартного срока. Поэтому сейчас мы информируем потребителей о проблемах с устройствами этой компании и настоятельно рекомендуем прекратить их использование», — подводит итог Мартин Хрон, специалист по безопасности компании Avast.
Когда проблемы видны сразу
Наши специалисты провели анализ процесса подключения T8 Mini, следуя инструкциям по загрузке сопутствующего мобильного приложения с http://en.i365gps.com.
Веб-сайт обслуживался по протоколу HTTP, а не по более безопасному HTTPS. Пользователи могут войти в свою учетную запись со своим личным присвоенным идентификационным номером и общим паролем по умолчанию «123456» — информация также передается по небезопасному протоколу HTTP.
Идентификационный номер получен из Международного идентификатора мобильного оборудования (IMEI) устройства, поэтому исследователям было легко предсказать и перечислить возможные идентификационные номера других трекеров этого производителя. В сочетании с общим паролем практически любое устройство, следующее этой последовательности номеров IMEI, может быть взломано без особых усилий.
Все в открытом доступе
Исследователи обнаружили, что все запросы, исходящие от веб-приложения трекера, передаются в незашифрованном виде. Еще более важно то, что злоумышленники могут заставить устройство выполнять команды, которые изначально не предполагались, например:
-
позвонить по номеру телефона, чтобы прослушать микрофон GPS-трекера;
-
отправить SMS-сообщение, чтобы определить номера телефона устройства и затем использовать SMS в качестве вектора атаки;
-
с помощью SMS-сообщений перенаправлять вызовы с устройства на альтернативный сервер — чтобы получить полный контроль над устройством или подделывать информацию, отправляемую в облако;
-
предоставить URL-адрес трекера, чтобы удаленно установить новую прошивку на устройство, которая полностью заменит функциональность устройства или внедрить бэкдор.
Неудивительно, что сопутствующее мобильное приложение AIBEILE (как в Google Play, так и в App Store) также взаимодействует с облаком через нестандартный порт HTTP, TCP: 8018, отправляя незашифрованный простой текст на конечное устройство. Анализ его взаимодействия с облаком подтвердил, что данные также передаются в незашифрованном виде из сети GSM на сервер без какой-либо авторизации.
Что потребители должны вынести из этого исследования
Помимо указанного устройства, наши эксперты выявили 29 других моделей GPS-трекеров, содержащих в себе уязвимости — большинство из них сделаны тем же поставщиком. Также были найдены 50 различных приложений, которые используют мобильную платформу с той же уязвимостью.
По оценкам исследователей, в настоящее время существует более 600 000 устройств с паролями по умолчанию «123456» и более 500 000 загрузок мобильных приложений. Неоднократные уведомления изготовителю устройства об обнаруженных недостатках не получили ответа.
Лина Элиас, руководитель отдела поставок продуктов для Avast, призывает общественность быть крайне осторожными при заказе дешевых или малоизвестных интеллектуальных устройств для дома: «Как родители, мы стремимся использовать технологии, которые обещают помочь обеспечить безопасность наших детей, но мы должны разбираться в продуктах, которые мы покупаем. Остерегайтесь любых производителей, которые не соответствуют минимальным стандартам безопасности или не имеют сторонних сертификатов или одобрений независимых комиссий. Покупайте продукты только тех брендов, которым вы доверяете. Сохраняйте ваши данные в безопасности — душевное спокойствие стоит дополнительных расходов».
Подробнее о найденных уязвимостях, обнаруженных в мини-трекере T8 Mini GPS, вы можете узнать в нашем блоге по анализу угроз Avast Decoded.
Подпишитесь на наши сообщества в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter, чтобы быть в курсе последних новостей и советов из области информационной безопасности и приватности данных.