Bezpečnost | Avast | GPS

Stačí heslo 123456 a můžete sledovat něčího psa, babičku či dítě, zjistili bezpečnostní experti

S postupnou miniaturizací komponent se na trhu začaly objevovat takzvané GPS trackery, ať už ve formě obojků pro psy, hodinek pro děti nebo obecných krabiček pro hlídání čehokoli. Následně lze sledovat polohu v reálném čase. Experti z Avastu se v uplynulých měsících na tyto produkty podívali z hlediska bezpečnosti. Výsledky byly nemilým překvapením.

Odborníci na základě svých zjištění odhadují, že je na světě zhruba 600 tisíc GPS trackerů, používaných pro sledování dětí, seniorů a domácích mazlíčků, jejichž bezpečnostní nedostatky umožňují zjistit polohu prakticky komukoli.

Nebezpečné sledování

Zařízení s cenovkou mezi 25 a 50 dolary jsou dnes dostatečně malá na to, aby se dala nosit například na řemínku, v kapse, nebo umístit do přihrádky v autě. Mnohá z nich dokážou kromě zjišťování polohy díky integrovanému mikrofonu a fotoaparátu také zachytávat zvuk a pořizovat snímky. Elektronické i klasické obchody je nabízejí jako levnou možnost, jak zajistit bezpečnost dětí, seniorů a domácích zvířat.

Odborníci zjistili chyby v zabezpečení GPS trackeru T8 Mini GPS Tracker Locator a dalších třiceti podobných produktech výrobce Shenzhen i365 Tech. Nepovolané osoby mohou uživatele těchto výrobků nejen sledovat, odposlouchávat, ale dokonce i falšovat informace o jejich skutečné poloze.

Experti z Avast Threat Labs zjistili, že identifikační čísla přiřazená každému zařízení byla založena na jeho čísle IMEI. Jako vážný bezpečnostní problém pak hodnotí fakt, že jako výchozí heslo všech produktů bylo nastaveno 123456. Toto zjištění jim umožnilo sledovat více než 600 tisíc aktivně používaných trackerů.

Až nepříjemně snadný útok

Aby toho nebylo málo, další výzkum ukázal, že veškerá komunikace probíhá ve formátu prostého textu. Není tedy vůbec nijak šifrována, což znamená, že útočník, který je ve stejné síti jako chytrý telefon nebo webová aplikace, může monitorovat nebo upravovat veškerý provoz.

Jeden z příkazů lze například použít k odeslání textové zprávy na zadané telefonní číslo. To může útočník použít k získání telefonního čísla svázaného s konkrétním účtem. Následně je možné měnit odeslané GPS souřadnice, nebo donutit zařízení, aby zavolalo na určené číslo a přenášelo zvuk z dosahu svého mikrofonu. Další příkazy umí vrátit zařízení do továrního nastavení, včetně výchozího hesla 123456 nebo nainstalovat škodlivý firmware.

Jiný příkaz umožňuje útočníkům změnit IP adresu serveru, se kterým tracker komunikuje. Díky tomu by útočníci dále nemuseli být připojeni ke stejné síti jako chytrý telefon nebo webová aplikace. Byli by schopni prohlížet a upravovat veškerý prostý text, který prochází přes jejich proxy server.

Odborníci si svá zjištění nenechali pro sebe a již 24. června vše oznámili prodejci postižených zařízení. Když se ani po dvou měsících nedočkali žádné odpovědi, zveřejnili ve čtvrtek 5. září informace na svém blogu. V článku, mimo jiné, najdete i seznam 29 postižených zařízení.

Diskuze (11) Další článek: Lego za 18 tisíc korun: metrový model Star Wars Star Destroyer má bezmála pět tisíc dílků, začne se prodávat v říjnu

Témata článku: , , , , , , , , , , , , , , , ,