Plus de 500 000 trackers GPS actifs ont "123456" comme mot de passe par défaut

Des chercheurs ont découvert de graves problèmes de sécurité dans plus de 600 000 suivis GPS disponibles à la vente sur Amazon et d'autres marchands en ligne susceptibles d'avoir exposé des données d'utilisateur, y compris les coordonnées GPS exactes en temps réel.

Tchèque La société de cybersécurité Avast, qui a révélé les vulnérabilités a déclaré avoir informé le fabricant de ces failles le 24 juin 2019, tout en ajoutant qu'elles n'avaient jamais reçu de réponse à leurs messages répétés.

Les traqueurs – 31 modèles en Shenzhen i365 Tech, fabricant chinois de l'Internet des objets, a permis aux utilisateurs de garder une trace de la localisation de leurs enfants par le biais d'une application compagnon et d'un portail Web, tandis que les suivis ont téléchargé les informations de localisation sur un serveur cloud communiquant avec les applications. [19659002] Mais les chercheurs ont noté que cette configuration était remplie de défauts. Les informations sur le portail Web et l'application Android envoyées au serveur n'étaient pas cryptées (HTTP par opposition à HTTPS), mais les noms d'utilisateur étaient basés sur le numéro IMEI des traqueurs ( International Mobile Equipment Identity ), le mot de passe par défaut étant «123456».

Avast a averti que les pirates informatiques pourraient utiliser ces informations pour intercepter des données et émettre des commandes non autorisées, en utilisant le suivi pour appeler et envoyer des messages à des numéros de téléphone arbitraires, leur permettant ainsi d'espionner les conversations sans suivi. connaissances de l'utilisateur.

En outre, cela peut également permettre à un utilisateur malveillant de prendre en charge les comptes des victimes en examinant les codes IMEI des suiveurs en séquence et le même mot de passe «123456», ce qui les verrouille efficacement. L'attaquant peut même obtenir les coordonnées GPS en temps réel en envoyant simplement un SMS au numéro de téléphone associé à la carte SIM insérée dans le suivi.

Idéalement pour l’acteur de menace, les paramètres du compte permettent à l’attaquant de forcer «le traqueur [to] à envoyer un SMS au numéro de téléphone d’un téléphone en sa possession lui permettant d’attacher la carte d’identité

En analysant un échantillon aléatoire de quatre millions de numéros IMEI séquentiels, les chercheurs ont mis au point au moins 600 000 périphériques encore utilisés avec des mots de passe par défaut, dont plus de 167 000 pouvaient être localisés.

Les traqueurs ont été fabriqués en Chine, Avast a constaté qu'ils étaient largement utilisés en Europe, en Afrique du Sud, en Australie, au Brésil, au Moyen-Orient et aux États-Unis.

Ce n'est pas la première fois qu'un défaut de cette nature est révélé . En mai, La société britannique de cybersécurité Fidus Information Security a révélé une vulnérabilité dans un système de suivi GPS très utilisé par des patients âgés, qui peut être amené à envoyer son emplacement en temps réel simplement en lui envoyant un message texte avec une commande spécifique.

Par conséquent, le Royaume-Uni envisage des lois qui imposeraient la vente de gadgets connectés à Internet avec un mot de passe unique et non un mot de passe par défaut.

une variété d’objets, depuis la localisation des membres de la famille jusqu’aux animaux domestiques et des voitures aux objets de valeur tels que les clés. Étant donné que le problème existe à ce jour, c’est un autre rappel de mise en garde expliquant pourquoi vous devriez changer les mots de passe par défaut.