I365 Tech de Shenzhen vend 600 000 traceurs GPS avec le mot de passe par défaut '123456'

En août 2018, État de Californie a adopté un projet de loi censé renforcer la sécurité des dispositifs Internet of Things (IoT) . Cela a déjà provoqué plus d’une petite controverse, certains affirmant que les législateurs n’ont pas l’expertise nécessaire pour régir la sécurité des appareils électroniques, d’autres affirmant que le projet de loi présente de bonnes idées mais qu’il devrait être plus précis aux règles et règlements q il établit.

Il est difficile de dire si le projet de loi est suffisamment bon, et il est encore plus difficile de prédire comment il sera appliqué une fois q il entrera en vigueur au début de année prochaine. Personne ne doute cependant que la sécurité de IdO soit triste et que tout le monde espère que la loi aidera au moins un peu. La semaine dernière, des chercheurs d’Avast ont apporté une preuve supplémentaire de la nécessité désespérée de le faire fonctionner.

Les noms utilisateur et mots de passe par défaut mettent en péril la sécurité des traqueurs GPS

Les experts se sont intéressés à la sécurité de quelques traceurs GPS d’un coût compris entre 25 et 50 dollars et pouvant être facilement achetés auprès de grands détaillants en ligne comme Amazon et eBay. La plupart des traqueurs q ils ont examinés semblent avoir été fabriqués par une société appelée Shenzhen i365 Tech, et ils sont censés vous donner la chance de savoir où sont vos enfants, vos parents, vos grands-parents et vos animaux domestiques à tout moment.

Vous pouvez obtenir les coordonnées exactes de appareil en vous connectant à un portail basé sur un navigateur ou à une application Android. Etant donné que les trackers sont livrés avec un emplacement pour carte SIM, un microphone et un haut-parleur, vous pouvez également appeler appareil ou le contrôler. via des commandes SMS. Les modèles haut de gamme sont même équipés une caméra.

Cela semble être un moyen assez simple et relativement peu coûteux de garantir la sécurité des personnes qui vous sont chères. Jetez un coup œil à la page produit de T8S Mini , un des trackers examinés par Avast, cependant, et vous verrez que du point de vue de la sécurité, les choses commencent à effondrer assez rapidement.

Il existe des images et des instructions utiles dans un anglais imparfait qui indique aux utilisateurs ce q ils doivent faire une fois q ils ont acheté leur traqueur. À un moment donné, on vous explique comment vous connecter à application pour la première fois. Vous devez utiliser le numéro identification de appareil (visible une fois le cas ouvert) et le mot de passe par défaut - "123456".

Le problème devrait être assez évident, mais juste au cas où, récapitulons. emplacement du suivi GPS (et de la personne qui le porte) est protégé par un nom utilisateur facile à obtenir et par le pire mot de passe du monde . Lorsque les journalistes de CNET ont écrit à propos de ce problème , ils ont demandé un commentaire à Shenzhen i365 Tech, et un porte-parole a déclaré q après leur connexion initiale, les utilisateurs peuvent facilement modifier le mot de passe par défaut pour un nom plus sécurisé.. Cependant, ils ne sont pas obligés de le faire, ce qui signifie que la plupart entre eux ne se dérangent pas.

À lui seul, le mot de passe ne peut pas déverrouiller le compte, mais les chercheurs d’Avast ont découvert qu’il était également extrêmement facile d’obtenir l’ID de produit, l’autre élément d’information requis. Les identifiants en question sont incrémentiels. En autres termes, si identifiant de votre suivi GPS est "1000000001", identifiant du suivi fabriqué immédiatement après le vôtre est "1000000002". Si un attaquant le sait, il peut se connecter aux comptes des propriétaires de suivi GPS qui ont pas modifié le mot de passe par défaut.

Pour déterminer ampleur des chances de succès une introduction par effraction, les experts Avast ont numérisé 4 millions identifiants supplémentaires et ont découvert q au moins 600 000 suiveurs Shenzhen i365 vivaient dans la nature avec des mots de passe par défaut. Il y avait même plus que cela, cependant.

Les identifiants de connexion par défaut ne sont pas le seul problème

Le problème évident, est que les traqueurs soient protégés par des identifiants de connexion extrêmement faciles à deviner, mais les chercheurs ont souligné que ce est pas le seul. Le portail basé sur un navigateur et application mobile ont été configurés pour fonctionner avec HTTP plutôt q avec HTTPS , ce qui signifie que toutes les informations (y compris les noms utilisateur, mots de passe et données de localisation) sont échangées en texte brut. Le numéro de téléphone de la carte SIM insérée dans le suivi pourrait figurer parmi ces informations.

Le savoir donne à attaquant la possibilité appeler le traqueur et écouter le porteur. Ils ont également la possibilité envoyer des commandes SMS à appareil, ce qui, en soi, ouvre un monde opportunités. Par exemple, en utilisant un seul message texte, ils peuvent modifier adresse IP du serveur avec lequel le traqueur communique et rediriger toutes les informations, créant ainsi un scénario Homme-au-Milieu et espionnant celui qui porte le trousseau. appareil pendant de longues périodes.

Les experts Avast ont découvert un certain nombre autres problèmes de sécurité liés aux traqueurs GPS proposés en ligne à des prix avantageux, et apparemment, le Shenzhen i365 est pas le seul fabricant impliqué. Plus de détails devraient être disponibles sous peu, et ici là, vous voudrez peut-être éviter achat un suivi GPS. Si vous en avez déjà un, assurez-vous au moins que le mot de passe par défaut est remplacé par un nom unique, sécurisé et difficile à deviner.