Minst 600 000 kr GPS trackers, som tillverkas av ett Kinesiskt företag använder samma standardlösenordet “123456,” säkerhet forskare från tjeckiska it-säkerhetsföretaget Avast lämnas ut idag.
De säger att hackare kan utnyttja detta lösenord för att stjäla användares konton, från där de kan spy på konversationer nära GPS-tracker, spolat tracker verkliga läge, eller få tracker är ansluten SIM-kortet telefon nummer för att spåra via GSM-kanaler.
Över 30 GPS-tracker modeller negativt
Avast forskare som sa att de hittade dessa frågor i T8 Mini, en GPS-tracker som tillverkas av Shenzhen i365-Tech, en Kinesisk IoT enhet tekokare.
Dock, eftersom deras forskning avancerade, Avast sade de frågor som påverkade även över 30 andra modeller av GPS-trackers, alla tillverkade av samma leverantör, och en del säljs även som white label-produkter, med logotyper som tillhör andra företag.
Alla modeller delade samma bakomliggande infrastruktur, som bestod av en cloud-server som GPS trackers rapporterade, en webbpanel där kunder inloggad via sin webbläsare för att kontrollera tracker plats, och en liknande app, som också är anslutna till samma cloud server.
Bild: Avast
Men all denna infrastruktur var full av hål. Medan Avast detaljerad flera frågor i sitt betänkande, den största var det faktum att alla användarkonton (antingen från mobil app eller webb-panel) förlitat sig på ett användar-ID och ett lösenord, som var lätt att gissa.
De användar-Id: n var baserat på GPS-tracker IMEI-nummer (International Mobile Equipment Identity) – kod och var sequantial, medan lösenord var samma för alla enheter — 123456.
Detta innebär att en hacker kan starta automatiserade attacker mot Shenzhen i365-Tech ‘ s cloud server genom att gå igenom alla användar-ID är en och en, och använder samma lösenord 123456, och ta över användarnas konton.
Samtidigt som användare kan ändra standard efter att de loggar in på sitt konto för första gången, Avast sade att under en genomsökning av över fyra miljoner användare-Id, visade att mer än 600 000 konton som fortfarande använder det förinställda lösenordet.
Genomgripande spårning och andra attacker
Många kunder köper enheter för att spåra husdjur, äldre familjemedlemmar, barn, bilar, eller andra värdefulla föremål. En angripare som får tillgång till en av dessa kunders konton kan spåra offer, men de kan också spolat tracker är läge att kidnappa eller stjäla en värdefull produkt utan att ägaren märker det förrän det är för sent.
Dessutom, dessa enheter är utrustade med mikrofoner och SIM-kort så att barn eller äldre medlemmarna kan placera SOS-samtal till myndigheter eller familjemedlemmar.
Avast säger konto hackare kan missbruka denna funktion för att placera ett samtal till sitt eget nummer, besvara samtal och sedan lugnt spy på GPS-tracker ägare.
Standardlösenordet också sätter säljarens vinster i fara
Men dessa standard lösenord är inte farlig bara för ägarna av dessa GPS-trackers. Avast säger det Kinesiska företaget i sig är i fara.
Forskare förklara att konton på cloud service skapas så snart som GPS trackers är tillverkade. De sa att en illvillig konkurrent kan kapa dessa konton innan de enheter som säljs och chnage sina lösenord, effektivt låsa konton och skapa kundsupport problem för Shenzhen i365-Tech och dess återförsäljare senare på vägen.
Eftersom Avast ‘ s forskning bara tittade på fyra miljoner användar-Id, det faktiska antalet GPS-trackers med default lösenord är mest sannolikt mycket högre.
Tyvärr för alla, frågan kvarstår till denna dag, som Shenzhen i365-Tech inte svara på Avast ‘ s e-post när företaget försökte varna säljaren. Liknande kontakt-försök gjorda av ZDNet syster sajten CNET inte heller att lyckas.
För nu, användare som äger en av de 30+ GPS tracker modeller som anges i Avast rapport rekommenderas att ändra sina lösenord så snart som möjligt.
Säkerhet
Android på Google Play app med 100 miljoner nedladdningar börjar leverera malware
Microsoft: med Hjälp av multi-faktor autentisering block 99,9% av konto hacks
En ny sakernas internet botnet är att infektera Android-baserade set-top-boxar
Synd om SHA-2: Symantec flunkar grundläggande programmering (ZDNet YouTube)
Den bästa DIY home security system av 2019 (CNET)
De största it-säkerhet risker i den finansiella sektorn (TechRepublic)
Relaterade Ämnen:
Hårdvara
Säkerhet-TV
Hantering Av Data
CXO
Datacenter