Tecnologia Shenzhen i365 vende 600.000 rastreadores GPS com '123456' definido como senha padrão

Em agosto de 2018, o Estado da Califórnia aprovou uma lei que deveria tornar os dispositivos da Internet das Coisas (IoT) mais seguros. Já causou mais do que um pouco de controvérsia, com alguns argumentando que os legisladores não têm a experiência necessária para governar a segurança de dispositivos eletrônicos, e outros dizendo que, embora o projeto de lei introduza algumas boas idéias, deve ser mais específico quando se trata com as regras e regulamentos que define.

É difícil dizer se a conta é boa o suficiente e é ainda mais difícil prever como será aplicada quando entrar em vigor no início do próximo ano. Entretanto, há poucas dúvidas de que o estado de segurança da IoT é lamentável, e todos esperam que a lei ajude pelo menos um pouco. Na semana passada, os pesquisadores da Avast forneceram mais uma prova de como precisamos desesperadamente que isso funcione.

Nomes de usuário e senhas padrão colocam em risco a segurança dos rastreadores GPS

Os especialistas estavam interessados na segurança de alguns rastreadores de GPS que custam entre US $ 25 e US $ 50 e podem ser facilmente comprados em grandes varejistas on-line como Amazon e eBay. A maioria dos rastreadores examinados parece ser fabricada por uma empresa chamada Shenzhen i365 Tech, e eles devem dar a você a chance de saber onde estão seus filhos, pais idosos e avós e animais de estimação a qualquer momento.

Você pode obter as coordenadas exatas do dispositivo fazendo login em um portal baseado em navegador ou em um aplicativo Android. Como os rastreadores vêm com um slot para cartão SIM, um microfone e um alto-falante, você também pode ligar para o dispositivo ou controlá-lo. via comandos SMS. Os modelos mais sofisticados estão equipados com uma câmera.

Parece uma maneira bastante direta e relativamente barata de garantir que as pessoas de quem você gosta estejam seguras. No entanto, dê uma olhada na página do produto do T8S Mini , um dos rastreadores que a Avast examinou e verá que, do ponto de vista da segurança, as coisas começam a desmoronar rapidamente.

Existem imagens e instruções úteis em inglês menos do que perfeito, informando aos usuários o que eles precisam fazer quando compram seu rastreador. Em um ponto, você recebe explicações sobre como efetuar login no aplicativo pela primeira vez. Você precisa usar o número de identificação do dispositivo (visível quando abrir o gabinete) e a senha padrão - "123456".

O problema deve ser bastante óbvio, mas, apenas por precaução, vamos recapitular. A localização do rastreador GPS (e a pessoa que o usa) é protegida por um nome de usuário fácil de obter e a pior senha do mundo . Quando os repórteres da CNET escreveram sobre o assunto , eles solicitaram um comentário da Shenzhen i365 Tech, e um porta-voz disse que após o login inicial, os usuários podem facilmente alterar a senha padrão para algo mais seguro. Eles não são obrigados a fazê-lo, no entanto, o que significa que a maioria deles simplesmente não se incomoda.

Por si só, a senha não pode desbloquear a conta, mas os pesquisadores da Avast descobriram que obter o ID do produto, a outra informação necessária, também é assustadoramente fácil. Os IDs em questão são incrementais. Em outras palavras, se o ID do seu rastreador GPS for "1000000001", o ID do rastreador fabricado imediatamente após o seu será "1000000002". Se um invasor souber disso, poderá fazer login nas contas dos proprietários de rastreadores de GPS que não alteraram a senha padrão.

Para descobrir quão grandes são as chances de uma invasão bem-sucedida, os especialistas da Avast examinaram 4 milhões de IDs incrementais e descobriram que pelo menos 600 mil rastreadores do Shenzhen i365 estavam "vivos na natureza com senhas padrão". Havia ainda mais do que isso, no entanto.

As credenciais de login padrão não são o único problema

O fato de os rastreadores serem protegidos por credenciais de login extremamente fáceis de adivinhar é o problema óbvio, mas os pesquisadores apontaram que está longe de ser o único. O portal baseado no navegador e o aplicativo móvel foram configurados para funcionar com HTTP em vez de HTTPS , o que significa que todas as informações (incluindo nomes de usuário, senhas e dados de localização) são trocadas em texto sem formatação. Entre essas informações, pode estar o número de telefone do cartão SIM inserido no rastreador.

Sabendo disso, o atacante tem a opção de ligar para o rastreador e espionar o usuário. Eles também têm a chance de enviar comandos SMS para o dispositivo que, por si só, abre um mundo de oportunidades. Usando uma única mensagem de texto, por exemplo, eles podem alterar o IP do servidor com o qual o rastreador se comunica e redirecionar todas as informações, criando efetivamente um cenário Man-in-the-Middle e espionando quem estiver usando o chaveiro dispositivo por longos períodos de tempo.

Os especialistas da Avast encontraram uma série de outros problemas de segurança com rastreadores de GPS oferecidos on-line a preços baratos e, aparentemente, o Shenzhen i365 não é o único fabricante envolvido. Mais detalhes devem estar disponíveis em breve e, até então, você poderá adiar a compra de um rastreador GPS. Se você já possui uma, pelo menos, certifique-se de que a senha padrão seja alterada para algo único, seguro e difícil de adivinhar.