Shenzhen i365 Tech vende 600.000 localizzatori GPS con "123456" impostato come password predefinita

Nel agosto 2018, lo Stato della California ha approvato una legge che dovrebbe rendere più sicuri i dispositivi Internet of Things (IoT) . Ha già causato più di una piccola polemica, con alcuni che sostengono che i legislatori non hanno le competenze necessarie per governare la sicurezza dei dispositivi elettronici, e altri che sostengono che mentre il disegno di legge introduce alcune buone idee, dovrebbe essere più specifico quando si tratta alle regole e ai regolamenti che stabilisce.

È difficile dire se il disegno di legge sia abbastanza buono, ed è ancora più difficile prevedere come verrà applicato una volta entrato in vigore al inizio del prossimo anno. Ci sono pochi dubbi nella mente di qualcuno, tuttavia, che lo stato della sicurezza del IoT sia doloroso e tutti sperano che la legge possa aiutare almeno un po. La scorsa settimana, i ricercatori di Avast hanno fornito ulteriori prove di quanto disperatamente ne abbiamo bisogno per funzionare.

Nomi utente e password predefiniti mettono a rischio la sicurezza dei localizzatori GPS

Gli esperti erano interessati alla sicurezza di alcuni localizzatori GPS che costano tra $ 25 e $ 50 e possono essere facilmente acquistati dai principali rivenditori online come Amazon ed eBay. La maggior parte dei tracker che hanno esaminato sembrano essere fabbricati da una società chiamata Shenzhen i365 Tech e dovrebbero darti la possibilità di sapere dove sono i tuoi figli, i genitori anziani, i nonni e gli animali domestici in qualsiasi momento.

Puoi ottenere le coordinate esatte del dispositivo accedendo a un portale basato su browser o u applicazione Android e poiché i tracker sono dotati di uno slot per scheda SIM, un microfono e un altoparlante, puoi anche chiamare il dispositivo o controllarlo tramite comandi SMS. I modelli di fascia alta sono persino dotati di una fotocamera.

Sembra un modo abbastanza semplice e relativamente economico per assicurarsi che le persone a cui tieni siano al sicuro. Dai u occhiata alla pagina del prodotto di T8S Mini , uno dei tracker esaminati da Avast, e vedrai che dal punto di vista della sicurezza, le cose iniziano a cadere piuttosto rapidamente.

Ci sono immagini e istruzioni utili in inglese tut altro che perfetto che dicono agli utenti cosa devono fare una volta acquistato il tracker. Ad un certo punto, ti vengono fornite spiegazioni su come accedere al applicazione per la prima volta. È necessario utilizzare il numero ID del dispositivo (visibile una volta aperto il caso) e la password predefinita - "123456".

Il problema dovrebbe essere abbastanza ovvio, ma per ogni evenienza, ricapitoliamo. La posizione del localizzatore GPS (e della persona che lo indossa) è protetta da un nome utente facile da ottenere e dalla password peggiore del mondo . Quando i giornalisti di CNET hanno scritto del problema , hanno richiesto un commento a Shenzhen i365 Tech e un portavoce ha detto che dopo il loro accesso iniziale, gli utenti possono facilmente cambiare la password predefinita in qualcosa di più sicuro. Non sono costretti a farlo, tuttavia, il che significa che la maggior parte di loro non si preoccupa.

Di per sé, la password non può sbloccare account, ma i ricercatori di Avast hanno scoperto che anche identificazione del prodotto, altra informazione richiesta, è terribilmente facile. Gli ID in questione sono incrementali. In altre parole, se ID del tuo localizzatore GPS è "1000000001", ID del localizzatore prodotto immediatamente dopo il tuo è "1000000002". Se un utente malintenzionato lo sa, può accedere agli account dei proprietari del localizzatore GPS che non hanno modificato la password predefinita.

Per scoprire quanto sono grandi le possibilità di successo di un rodaggio, gli esperti di Avast hanno scansionato 4 milioni di ID incrementali e hanno scoperto che almeno 600 mila tracker Shenzhen i365 erano "vivi allo stato brado con password predefinite". Tuttavia, era ancora di più.

Le credenziali di accesso predefinite non sono unico problema

Il fatto che i tracker siano protetti da credenziali di accesso estremamente facili da indovinare è ovvio problema, ma i ricercatori hanno sottolineato che è tut altro che unico. Sia il portale basato sul browser che applicazione mobile sono stati configurati per funzionare con HTTP anziché HTTPS , il che significa che tutte le informazioni (inclusi nomi utente, password e dati sulla posizione) vengono scambiate in testo normale. Tra queste informazioni potrebbe esserci il numero di telefono della scheda SIM inserita nel tracker.

Conoscerlo offre al aggressore la possibilità di chiamare il localizzatore e intercettare chi lo indossa. Hanno anche la possibilità di inviare comandi SMS al dispositivo che, di per sé, apre un mondo di opportunità. Usando un singolo messaggio di testo, ad esempio, possono cambiare IP del server con cui il tracker comunica e reindirizzare tutte le informazioni a modo loro, creando in modo efficace uno scenario Man-in-the-Middle e spiando chi indossa il portachiavi dispositivo per lunghi periodi di tempo.

Gli esperti di Avast hanno scoperto una serie di altri problemi di sicurezza con i localizzatori GPS offerti online a buon mercato e, a quanto pare, Shenzhen i365 non è unico produttore coinvolto. Maggiori dettagli dovrebbero essere disponibili presto e fino ad allora, potresti voler tenere a bada acquisto di un localizzatore GPS. Se ne hai già uno, assicurati almeno che la password predefinita sia cambiata in qualcosa di unico, sicuro e difficile da indovinare.