Descobertas falhas de segurança em rastreadores GPS que expõem a localização de mais de meio milhão de crianças e idosos

Pesquisadores alertam consumidores sobre vulnerabilidades que afetam quase 30 modelos de dispositivos de rastreamento, representando risco inerente para IoT

A Avast líder global em produtos de segurança digital, descobriu sérias vulnerabilidades de segurança no rastreador T8 Mini GPS e em quase 30 outros modelos do mesmo fabricante, Shenzhen i365 Tech.

Comercializados para manter crianças, idosos, animais de estimação e até pertences seguros, esses dispositivos expõem todos os dados enviados para a nuvem, incluindo as coordenadas exatas do GPS em tempo real.

Além disso, falhas do projeto podem permitir que terceiros indesejados falsifiquem o local ou acessem o microfone para espionar.

Os pesquisadores do Laboratório de Ameaças da Avast estimam que existem 600.000 rastreadores sem proteção em uso no mundo todo, mas enfatizam que esses problemas de segurança de IoT vão muito além do escopo de um único fornecedor.

Martin Hron, pesquisador sênior da Avast que liderou essa pesquisa, aconselha os consumidores a escolher opções de marcas que incorporam segurança ao projeto do produto, especificamente login seguro e uma forte criptografia de dados.

Como em qualquer dispositivo de prateleira, recomenda-se alterar a senha padrão do administrador para uma mais complexa – neste caso, no entanto, mesmo isso não impedirá que um indivíduo motivado intercepte o tráfego não criptografado.

“Tomamos as devidas providências na divulgação dessas vulnerabilidades para o fabricante, mas, como não recebemos resposta após o período de tempo padrão, agora estamos emitindo este anúncio de serviço público aos consumidores e aconselhamos fortemente que os usuários interrompam o uso desses dispositivos“, diz Hron.

Sinais de vulnerabilidades

Primeiramente, o Laboratório de Ameaças da Avast analisou o processo de onboarding do T8 Mini, seguindo as instruções para fazer o download do aplicativo para o dispositivo móvel de acompanhamento em http://en.i365gps.com– curiosamente trata-se de um site veiculado por protocolo HTTP ao invés de HTTPS mais seguro.

Os usuários podem fazer o login na conta com um número de identificação atribuído e uma senha padrão muito genérica de “123456”. Essas informações também foram transmitidas por protocolo HTTP inseguro.

O número de identificação do dispositivo é derivado do IMEI (International Mobile Equipment Identity), portanto, foi fácil para os pesquisadores prever e enumerar possíveis números de identificação de outros rastreadores por este fabricante. Combinado com a senha fixa, praticamente qualquer dispositivo seguindo essa sequência de números IMEI poderia ser invadido com pouco esforço.

Nada é criptografado

Usando uma simples ferramenta de busca de comando, os pesquisadores descobriram que todas as solicitações originadas no aplicativo web do rastreador são transmitidas em texto sem criptografia. Ainda mais preocupante, o dispositivo pode emitir comandos além do uso pretendido de rastreamento GPS, como:

• Ligar para um número de telefone, permitindo que terceiros interceptem o microfone do rastreador;
• Enviar uma mensagem SMS, que pode permitir que um invasor identifique o número de telefone do dispositivo e, assim, use o SMS de entrada como um vetor de ataque;
• Usar o SMS para redirecionar a comunicação do dispositivo para um servidor alternativo, para obter o controle total do dispositivo ou falsificar as informações enviadas à nuvem;
• Compartilhar a URL com o rastreador, permitindo que um invasor remoto coloque um novo firmware no dispositivo sem sequer tocá-lo, o que poderia substituir completamente a funcionalidade ou implantar um backdoor.

Sem surpresa, o aplicativo para o dispositivo móvel de acompanhamento AIBEILE  (no Google Play e iOS App Store) também foi encontrado se comunicando com a nuvem por meio de uma porta HTTP não padrão, TCP:8018, enviando um texto sem criptografia para o endpoint. 

Ao dissecar o próprio dispositivo para analisar como ele se comunicava com a nuvem, o Laboratório de Ameaças da Avast confirmou que os dados novamente viajam sem criptografia da rede GSM para o servidor, sem nenhuma autorização.

O que os consumidores devem extrair desta pesquisa

Além do dispositivo que é o foco desta pesquisa, a Avast identificou 29 outros modelos de rastreadores GPS que contêm essas vulnerabilidades de segurança – a maioria deles são fabricados pelo fornecedor mencionado acima -, além de 50 diferentes aplicativos para dispositivos móveis que compartilham a mesma plataforma não criptografada discutida anteriormente.

Os pesquisadores estimam que existem mais de 600.000 dispositivos com senhas padrão “123456” e mais de 500.000 downloads dos aplicativos dos dispositivos móveis. As repetidas notificações para o fabricante do dispositivo, revelando as falhas, não tiveram respostas.

Leena Elias, chefe de entrega de produtos da Avast, pede ao público que tome precauções ao trazer imitações ou versões baratas de dispositivos inteligentes para casa.

“Como pais, estamos propensos a adotar a tecnologia que promete ajudar a manter os nossos filhos em segurança, mas devemos ter conhecimento dos produtos que compramos”, comenta. “Cuidado com os fabricantes que não atendem os padrões mínimos de segurança ou não possuem certificações, ou recomendações de terceiros. Compre apenas marcas confiáveis para manter os seus dados seguros – o custo extra vale a paz de espírito”, completa Leena.

Sobre a Avast

A Avast (LSE: AVST) é líder global em produtos de segurança digital. Com mais de 400 milhões de usuários online, a Avast oferece produtos com as marcas Avast e AVG, que protegem as pessoas de ameaças na internet e no emergente cenário de ameaças de IoT.