Avast виявила серйозні вразливості у GPS трекері
Avast виявила серйозні вразливості в GPS трекері
Avast виявила серйозні вразливості у GPS трекері T8 mini від компанії Shenzhen i365 Tech. Дослідники знайшли вразливості і в інших моделях цього виробника: лише 30 трекерів мають проблеми з безпекою, у тому числі трекери для забезпечення безпеки дітей, людей похилого віку, домашніх тварин та майна. Замість цього пристрою третім особам можна отримати всі дані з хмари, включаючи точні GPS-координати, в режимі реального часу. Крім того, зловмисники можуть підробити місцезнаходження або отримати доступ до мікрофона для прослуховування.
За підрахунком дослідників Avast Threat Labs, у світі використовується близько 600 000 незахищених трекерів. При цьому фахівці наголошують, що проблеми безпеки IoT-пристроїв виходять далеко за межі продукції одного постачальника.
Зспеціаліст з безпеки компанії Avast, який керував цим дослідженням, радить при виборі GPS-трекера розглядати продукти від бренду, який уважніше ставиться до безпеки своїх пристроїв. Важливо, щоб рішення щодо безпеки були вже вбудовані в продукт, особливо це стосується складних паролів та надійного шифрування даних.
Для пристроїв такого типу існує загальне правило: обов'язково змінити стандартні паролі за промовчанням на складніші. Але у разі пристроїв від цього виробника навіть такі заходи безпеки не завадять зловмиснику перехопити зашифрований трафік.
«Ми завжди уважно ставимося до розкриття вразливостей. Спочатку ми сповіщаємо виробника про знайдені проблеми, але в цьому випадку ми не отримали відповіді на наші листи після закінчення стандартного терміну. Тому зараз ми інформуємо споживачів про проблеми з пристроями цієї компанії та наполегливо рекомендуємо припинити їх використання».
Фахівці Avast Threat Labs почали з аналізу процесу підключення T8 Mini, дотримуючись інструкцій із завантаження супутнього мобільного додатка з http://en.i365gps.com.
Веб-сайт обслуговувався за протоколом HTTP, а не безпечним HTTPS. Користувачі можуть увійти до свого облікового запису зі своїм особистим ідентифікаційним номером та загальним паролем за замовчуванням «123456» — інформація також передається за небезпечним протоколом HTTP.
Ідентифікаційний номер отримано з Міжнародного ідентифікатора мобільного обладнання (IMEI) пристрою, тому дослідникам було легко передбачити та перерахувати можливі ідентифікаційні номери інших трекерів цього виробника. У поєднанні із загальним паролем практично будь-яке пристрій, що наслідує цю послідовність номерів IMEI, може бути зламаний без особливих зусиль.
Дослідники виявили, що всі запити, що надходять від веб-програми трекера, передаються в незашифрованому вигляді. Ще важливіше те, що зловмисники можуть змусити пристрій виконувати команди, які не передбачалися, наприклад: зателефонувати за номером телефону, щоб прослухати мікрофон GPS-трекера; надіслати SMS-повідомлення, щоб визначити номери телефону пристрою і потім використовувати SMS як вектор атаки; за допомогою SMS-повідомлень перенаправляти дзвінки з пристрою на альтернативний сервер — щоб отримати повний контроль над пристроєм або підробляти інформацію, що надсилається у хмару; надати URL-адресу трекера, щоб віддалено встановити нову прошивку на пристрій, яка повністю замінить функціональність пристрою або впровадити бекдор.
Не дивно, що супутня мобільна програма AIBEILE (як у Google Play, так і в App Store для iOS) також взаємодіє з хмарою через нестандартний порт HTTP, TCP: 8018, відправляючи незашифрований простий текст на кінцевий пристрій. Після аналізу самого пристрою для аналізу його взаємодії з хмарою Avast Threat Labs підтвердила, що дані також передаються у незашифрованому вигляді з мережі GSM на сервер без авторизації.
Крім зазначеного пристрою, фахівці Avast виявили 29 інших моделей GPS-трекерів, що містять у собі вразливості — більшість з них зроблено тим же постачальником. Також було знайдено 50 різних програм, які використовують мобільну платформу з тією ж вразливістю.За оцінками дослідників, в даний час існує понад 600 000 пристроїв з паролями за замовчуванням «123 456» і більше 500 000 завантажень мобільних програм. Неодноразові повідомлення виробника пристрою про виявлені недоліки не отримали відповіді.
Р керівник відділу постачання продуктів для Avast, закликає громадськість бути вкрай обережними при замовленні дешевих або маловідомих інтелектуальних пристроїв для дому: «Як батьки, ми прагнемо використовувати технології, які обіцяють допомогти забезпечити безпеку наших дітей, але ми повинні розумітися на продуктах, які ми купуємо. Остерігайтеся будь-яких виробників, які не відповідають мінімальним стандартам безпеки або не мають сторонніх сертифікатів чи ухвал незалежних комісій. Купуйте продукти лише тих брендів, яким ви довіряєте. Зберігайте ваші дані в безпеці — душевний спокій вартий додаткових витрат».
