Shenzhen i365 Tech verkauft 600.000 GPS-Tracker mit "123456" als Standardkennwort

Im August 2018 verabschiedete der US-Bundesstaat Kalifornien ein Gesetz, das die Sicherheit von Internet-of-Things- Geräten (IoT) verbessern soll. Es hat bereits zu einigen Kontroversen geführt. Einige argumentieren, dass der Gesetzgeber nicht über das erforderliche Fachwissen für die Sicherheit elektronischer Geräte verfügt, und andere sagen, dass der Gesetzentwurf zwar einige gute Ideen enthält, diese jedoch präziser formuliert werden sollten zu den Regeln und Vorschriften, die es festlegt.

Es ist schwer zu sagen, ob der Gesetzesentwurf gut genug ist, und es ist noch schwerer vorherzusagen, wie er umgesetzt wird, sobald er Anfang nächsten Jahres in Kraft tritt. Es besteht jedoch kaum ein Zweifel daran, dass die Sicherheit im Internet der Dinge bedenklich ist, und alle hoffen, dass das Gesetz zumindest ein wenig Abhilfe schafft. Letzte Woche Forscher von Avast vorgesehen noch mehr Beweis dafür , wie dringend brauchen es uns zu arbeiten.

Standardbenutzernamen und -kennwörter gefährden die Sicherheit von GPS-Trackern

Die Experten interessierten sich für die Sicherheit einiger GPS-Tracker, die zwischen 25 und 50 US-Dollar kosten und problemlos bei großen Online-Händlern wie Amazon und eBay erhältlich sind. Die meisten der von ihnen untersuchten Tracker scheinen von einer Firma namens Shenzhen i365 Tech hergestellt worden zu sein, und sie sollen Ihnen die Möglichkeit geben zu wissen, wo sich Ihre Kinder, älteren Eltern und Großeltern sowie Haustiere zu einem bestimmten Zeitpunkt befinden.

Sie können die genauen Koordinaten des Geräts abrufen, indem Sie sich bei einem browserbasierten Portal oder einer Android-Anwendung anmelden. Da die Tracker über einen SIM-Kartensteckplatz, ein Mikrofon und einen Lautsprecher verfügen, können Sie das Gerät auch anrufen oder steuern über SMS-Befehle. Die High-End-Modelle sind sogar mit einer Kamera ausgestattet.

Es klingt nach einer recht einfachen und relativ billigen Methode, um sicherzustellen, dass die Menschen, die Ihnen am Herzen liegen, in Sicherheit sind. Werfen Sie einen Blick auf die Produktseite von T8S Mini , einem der von Avast untersuchten Tracker, und Sie werden feststellen , dass die Dinge unter Sicherheitsgesichtspunkten ziemlich schnell auseinanderfallen.

Es gibt handliche Bilder und Anweisungen in nicht perfektem Englisch, die den Benutzern erklären, was sie tun müssen, wenn sie ihren Tracker gekauft haben. An einem Punkt erhalten Sie Erklärungen, wie Sie sich zum ersten Mal bei der Anwendung anmelden. Sie müssen die ID-Nummer des Geräts (die nach dem Öffnen des Gehäuses angezeigt wird) und das Standardkennwort "123456" verwenden.

Das Problem sollte ziemlich offensichtlich sein, aber für den Fall, lassen Sie uns noch einmal zusammenfassen. Der Standort des GPS-Trackers (und der Person, die ihn trägt) ist durch einen Benutzernamen geschützt, der leicht zu erhalten ist und das weltweit schlechteste Passwort enthält . Als die CNET-Reporter über das Problem schrieben , baten sie die Shenzhen i365 Tech um einen Kommentar, und ein Sprecher sagte, dass Benutzer nach der ersten Anmeldung das Standardkennwort leicht in ein sichereres ändern können. Sie sind jedoch nicht dazu gezwungen, was bedeutet, dass sich die meisten von ihnen einfach nicht darum kümmern.

Das Kennwort allein kann das Konto nicht entsperren, aber die Forscher von Avast haben herausgefunden, dass es auch erschreckend einfach ist, an die Produkt-ID zu gelangen, die andere erforderliche Information. Die fraglichen IDs sind inkrementell. Mit anderen Worten, wenn die ID Ihres GPS-Trackers "1000000001" lautet, lautet die ID des unmittelbar nach Ihnen hergestellten Trackers "1000000002". Wenn ein Angreifer dies weiß, kann er sich bei den Konten von Besitzern von GPS-Trackern anmelden, die das Standardkennwort nicht geändert haben.

Um herauszufinden, wie groß die Chancen für einen erfolgreichen Einbruch sind, haben die Experten von Avast 4 Millionen inkrementelle IDs gescannt und festgestellt, dass mindestens 600.000 i365-Tracker von Shenzhen mit Standardkennwörtern "in der Wildnis leben". Es steckte jedoch noch mehr dahinter.

Die Standardanmeldeinformationen sind nicht das einzige Problem

Die Tatsache, dass die Tracker durch äußerst leicht zu erratende Anmeldeinformationen geschützt sind, ist das offensichtliche Problem, aber die Forscher wiesen darauf hin, dass dies keineswegs das einzige ist. Sowohl das browserbasierte Portal als auch die mobile Anwendung wurden für die Verwendung von HTTP anstelle von HTTPS eingerichtet. Dies bedeutet, dass alle Informationen (einschließlich Benutzernamen, Kennwörter und Standortdaten) im Klartext ausgetauscht werden. Zu diesen Informationen könnte die Telefonnummer der SIM-Karte gehören, die in den Tracker eingelegt ist.

Das Wissen darüber gibt dem Angreifer die Möglichkeit, den Verfolger anzurufen und den Träger zu belauschen. Sie haben auch die Möglichkeit, SMS-Befehle an das Gerät zu senden, was für sich genommen eine Welt voller Möglichkeiten eröffnet. Mithilfe einer einzelnen Textnachricht können sie beispielsweise die IP-Adresse des Servers ändern, mit dem der Tracker kommuniziert, und alle Informationen auf diese Weise umleiten. Auf diese Weise wird ein Man-in-the-Middle- Szenario erstellt und es kann ausspioniert werden, wer den Schlüsselbund trägt Gerät für längere Zeit.

Die Experten von Avast stellten eine Reihe anderer Sicherheitsprobleme mit GPS-Trackern fest, die online günstig angeboten werden, und anscheinend ist Shenzhen i365 nicht der einzige Hersteller, der daran beteiligt ist. Weitere Details sollten in Kürze verfügbar sein. Bis dahin möchten Sie möglicherweise den Kauf eines GPS-Trackers unterbrechen. Wenn Sie bereits ein Kennwort haben, stellen Sie sicher, dass das Standardkennwort in ein eindeutiges, sicheres und schwer zu erratendes Kennwort geändert wird.