Almeno 600.000 inseguitori di GPS prodotto da un’azienda Cinese utilizza la stessa password predefinita “123456,” i ricercatori di sicurezza ceca, cyber-ditta di sicurezza Avast diffusi oggi.
Dicono che gli hacker possono abusare di questa password per dirottare gli account degli utenti, da cui si può spiare le conversazioni vicino il GPS tracker, parodia del tracker posizione reale, o di ottenere il tracker allegata carta SIM numero di telefono per il monitoraggio tramite canali GSM.
Oltre 30 GPS tracker modelli di impatto
Avast ricercatori hanno detto che hanno trovato in questi problemi T8 Mini, un inseguitore di GPS prodotto da Shenzhen i365-Tech, un Cinese IoT dispositivo maker.
Tuttavia, come le loro ricerche avanzate, Avast ha detto il problemi anche influenzato più di 30 altri modelli di GPS tracker, tutti prodotti dallo stesso fornitore, e alcuni addirittura venduti come prodotti di bianco-etichetta, recanti i loghi di altre aziende.
Tutti i modelli condiviso la stessa infrastruttura di backend, che consisteva in un cloud server a cui inseguitori di GPS segnalato, un pannello web dove i clienti registrati tramite il loro browser per controllare il tracker posizione, e una simile app mobile, che anche collegati allo stesso server cloud.
Immagine: Avast
Ma tutta questa infrastruttura era pieno di buchi. Mentre Avast dettagliate diversi problemi nella sua relazione, il più grande è stato il fatto che tutti gli account utente (sia da mobile app o web panel) si basava su un ID utente e una password facili da indovinare.
L’Id utente sono stati basati su GPS tracker IMEI (International Mobile Equipment Identity) e il codice è stato sequantial, mentre la password è la stessa per tutti i dispositivi — 123456.
Questo significa che un hacker è in grado di lanciare attacchi automatizzati contro Shenzhen i365-tecnologia cloud server passando attraverso tutte user ID, uno per uno, e utilizzando la stessa password 123456, e prendere il controllo account utente.
Mentre gli utenti possono modificare l’impostazione predefinita quando si accede al proprio account per la prima volta, Avast ha detto che durante una scansione di oltre quattro milioni di Id utente, si è riscontrato che più di 600.000 account con la password di default.
Pervasivo di monitoraggio e di altri attacchi
Molti clienti di acquistare i dispositivi per monitorare gli animali domestici, i membri anziani della famiglia, bambini, auto, o altri oggetti di valore. Un utente malintenzionato che riesca ad accedere ad uno di questi account di clienti possibile tenere traccia delle vittime, ma possono anche assumere l’inseguitore posizione di rapire o il furto di un prezioso prodotto senza che il proprietario ne accorga fino a quando è troppo tardi.
Inoltre, questi dispositivi sono dotati di microfoni e le carte SIM in modo che bambini o anziani membri possono mettere SOS per chiamate di autorità o membri della famiglia.
Avast dice account hacker può abusare di questa funzione per fare una telefonata al loro numero, rispondere a una chiamata, e poi tranquillamente spiare un inseguitore di GPS del proprietario.
Password di Default mette anche il venditore profitti in pericolo
Ma queste password di default non sono pericolosi solo per i proprietari di questi inseguitori di GPS. Avast dice che la società Cinese è in pericolo.
I ricercatori spiegano che gli account su servizi cloud sono creati non appena il GPS tracker sono prodotti. Hanno detto che un malintenzionato concorrente potrebbe dirottare questi conti prima che i dispositivi sono in vendita e cambiamento la propria password, in modo efficace di chiusura dei conti e la creazione di customer problemi di supporto per Shenzhen i365-Tech e dei suoi rivenditori in seguito lungo la strada.
Dato che Avast ricerca guardato solo quattro milioni di user Id, il numero effettivo di GPS tracker con password di default è probabilmente molto più alto.
Purtroppo per tutti, il problema persiste ancora oggi, come Shenzhen i365-Tech non ha risposto alla Avast mail quando l’azienda ha cercato di avvisare il venditore. Simile contatto tentativi di ZDNet sorella del sito CNET non riuscire neanche.
Per ora, gli utenti che possiedono uno dei 30+ GPS tracker modelli elencati nel Avast report si consiglia di cambiare la loro password di account non appena possibile.
Sicurezza
Android app Google Play con 100 milioni di download inizia a distribuire malware
Microsoft: Utilizza autenticazione multi-fattore blocca il 99,9% degli account hack
Un nuovo IOT botnet sta infettando Android-based set-top box
Peccato per SHA-2: Symantec tale programmazione di base (ZDNet YouTube)
Il migliore fai da te sistemi di sicurezza domestica del 2019 (CNET)
Il più grande cybersecurity rischi nel settore dei servizi finanziari (TechRepublic)
Argomenti Correlati:
Hardware
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati