Mindst 600,000 GPS trackere, der er fremstillet af et Kinesisk firma bruger den samme standard password “123456,” sikkerhed forskere fra tjekker cyber-sikkerhed firma Avast offentliggjort i dag.
De siger, at hackere kan misbruge denne adgangskode for at kapre brugeres konti, hvorfra de kan udspionere samtaler i nærheden af GPS-tracker, spoof tracker ‘ s reelle placering, eller få tracker er knyttet til SIM-kort telefon nummer til sporing via GSM-kanaler.
Over 30 GPS tracker modeller påvirket
Avast forskere, der sagde, at de fandt disse spørgsmål i T8 Mini, en GPS-tracker, der er fremstillet af Shenzhen i365-Tech, en Kinesisk IoT udstyr maker.
Dog, som deres forskning avanceret, Avast sagde de spørgsmål, der også påvirket over 30 andre modeller af GPS-trackere, der alle er fremstillet af den samme leverandør, og nogle endda solgt som white-label produkter, forsynet med de logoer af andre virksomheder.
Alle modeller delte den samme backend infrastruktur, som bestod af en cloud server, som GPS trackere, rapporterede en web-panel, hvor kunder som er logget på via deres browsere til at kontrollere tracker placering, og en lignende mobile app, som også er forbundet til den samme cloud-server.
Billede: Avast
Men hele denne infrastruktur var fuld af huller. Mens Avast detaljeret flere spørgsmål i sin betænkning, den største var, at alle brugerkonti (enten fra den mobile app eller web-panel) baseret på et bruger-ID og en adgangskode, som var nemme at gætte.
Bruger-id ‘erne var baseret på GPS-tracker’ s IMEI-nummer (International Mobile Equipment Identity) – kode, og var sequantial, mens den adgangskode, der var det samme for alle enheder-123456.
Dette betyder, at en hacker kan starte automatiserede angreb mod Shenzhen i365-Tech ‘s cloud server ved at gå gennem alle bruger-ID’ er, én efter én, og du bruger det samme password, 123456, og tage over brugeres konti.
Mens brugerne kan ændre standardindstillingerne, når de logger ind på deres konto for første gang, Avast sagde, at under en scanning af over fire millioner bruger-id ‘ er, er det konstateret, at mere end 600.000 konti var stadig ved hjælp af standard password.
Pervasive tracking og andre angreb
Mange kunder køber udstyr til at spore kæledyr, ældre familiemedlemmer, børn, biler, eller andre værdifulde genstande. En hacker, der får adgang til den ene af disse kunders konti kan spore ofre, men de kan også spoof tracker placering for at kidnappe eller stjæle en værdifuld vare, uden at ejeren opdager det, før det er for sent.
Hertil kommer, at disse enheder er udstyret med mikrofoner og SIM-kort, så børn eller ældre medlemmer kan placere SOS opkald til myndigheder eller familie medlemmer.
Avast siger konto hackere kan misbruge denne funktion til at placere et opkald til deres eget nummer, du vil besvare opkaldet, og derefter stille og roligt spion på GPS-tracker ejer.
Standard password lægger også sælger overskud i fare
Men disse standard passwords er ikke farligt, bare for ejerne af disse GPS trackere. Avast siger den Kinesiske virksomhed, der i sig selv er i fare.
Forskere forklare, at regnskabet på en cloud-tjeneste, er skabt, så snart GPS-trackere er fremstillet. De sagde, at en ondsindet konkurrent kunne kapre disse konti, før de enheder, der er solgt og chnage deres adgangskoder, effektivt låsning af konti og skabe kundesupport problemer for Shenzhen i365-Tech og sine forhandlere senere nede ad vejen.
Da Avast ‘s forskning kun set på fire millioner bruger-id’ er, det faktiske antal af GPS-trackere med standard adgangskoder er sandsynligvis meget højere.
Desværre for alle, problemet fortsætter til denne dag, som Shenzhen i365-Tech ikke svare på Avast ‘ s e-mails når virksomheden forsøgt at advare de sælger. En lignende kontakt forsøg på ZDNet ‘ s søster-site CNET ikke lykkedes, enten.
For nu, er brugerne, der ejer en af de 30+ GPS tracker modeller, der er anført i Avast rapport rådes til at ændre deres konto passwords så hurtigt som muligt.
Sikkerhed
Android Google Play app med 100 millioner downloads begynder at levere malware
Microsoft: Brug af multi-faktor-autentificering blokke 99,9% af konto hacks
En ny tingenes internet botnet er at inficere Android-baseret set top-bokse
Skam over SHA-2: Symantec dumper grundlæggende programmering (ZDNet YouTube)
Den bedste DIY sikkerhed i hjemmet systemer i 2019 (CNET)
Den største cybersecurity risici i den finansielle sektor (TechRepublic)
Relaterede Emner:
Hardware
Sikkerhed-TV
Data Management
CXO
Datacentre