CIBERSEGURIDAD

Avast descubre fallas de seguridad en rastreadores GPS generalizados que exponen ubicaciones de más de medio millón de niños y ancianos.

Avast [LSE:AVST], líder mundial en productos de seguridad digital, ha descubierto graves vulnerabilidades de seguridad en el rastreador GPS T8 Mini y en casi 30 modelos más del mismo fabricante, Shenzhen i365 Tech. Comercializados para mantener seguros a los niños, las personas mayores, las mascotas e incluso las posesiones, estos dispositivos exponen todos los datos enviados a la nube, incluidas las coordenadas GPS exactas en tiempo real. Además, los defectos de diseño pueden permitir que terceros no deseados falsifiquen la ubicación o accedan al micrófono para espiar. Los investigadores de Avast Threat Labs estiman que hay 600.000 rastreadores desprotegidos en uso en todo el mundo, pero enfatizan que estos problemas de seguridad de IoT van mucho más allá del alcance de un solo proveedor.

Martin Hron, investigador senior de Avast que dirigió esta investigación, aconseja a los compradores de estos productos que opten por una alternativa de una marca más confiable que haya incorporado seguridad en el diseño del producto. Al igual que con cualquier dispositivo estándar, recomendamos cambiar las contraseñas de administrador predeterminadas a algo más complejo; sin embargo, en este caso, ni siquiera eso impedirá que una persona motivada intercepte el tráfico no cifrado. “Hemos hecho nuestra debida diligencia al revelar estas vulnerabilidades al fabricante, pero dado que no hemos recibido respuesta después del período de tiempo estándar, ahora estamos emitiendo este Anuncio de Servicio Público a los consumidores y le recomendamos encarecidamente que deje de usar estos dispositivos. —Dijo Hron.

Banderas rojas desde el primer momento

Avast Threat Labs analizó primero el proceso de incorporación del T8 Mini, siguiendo las instrucciones para descargar la aplicación móvil complementaria de http://en.i365gps.com, en particular, un sitio web servido a través del protocolo HTTP en lugar del HTTPS más seguro. Luego, los usuarios pueden iniciar sesión en su cuenta con su número de identificación asignado y una contraseña predeterminada muy genérica de “123456”. Esta información también se transmitió a través de un protocolo HTTP inseguro.

El número de identificación se deriva de la identidad internacional de equipo móvil (IMEI) del dispositivo, por lo que fue fácil para los investigadores predecir y enumerar los posibles números de identificación de otros rastreadores de este fabricante. Combinada con la contraseña fija, prácticamente cualquier dispositivo que siga esta secuencia de números IMEI podría ser ingresado con poco esfuerzo.

Todo esta sin encriptar

Con una sencilla herramienta de búsqueda de comandos, los investigadores descubrieron que todas las solicitudes que se originan en la aplicación web del rastreador se transmiten en texto plano sin cifrar. Aún más preocupante, el dispositivo puede emitir comandos más allá de los usos previstos del rastreo por GPS, como:

· Llamar a un número de teléfono, lo que permite a un tercero espiar a través del micrófono del rastreador

· Enviar un mensaje SMS, que podría permitir a un atacante identificar el número de teléfono del dispositivo y así utilizar los SMS entrantes como vector de ataque

· Utilice SMS para redirigir la comunicación desde el dispositivo a un servidor alternativo con el fin de obtener el control total del dispositivo o falsificar la información enviada a la nube

· Comparte una URL con el rastreador, lo que permite a un atacante remoto colocar nuevo firmware en el dispositivo sin siquiera tocarlo, lo que podría reemplazar completamente la funcionalidad o implantar una puerta trasera

Como era de esperar, también se encontró que la aplicación móvil complementaria AIBEILE (tanto en Google Play como en la App Store de iOS) se comunicaba con la nube a través de un puerto HTTP no estándar, TCP: 8018, enviando texto sin cifrar sin cifrar al punto final. Al analizar el dispositivo en sí para analizar cómo le habla a la nube, Avast Threat Labs confirmó que los datos viajan nuevamente sin cifrar desde la red GSM al servidor sin ninguna autorización.

Lo que los consumidores deberían sacar de esta investigación

Además del dispositivo que es el foco de esta investigación, Avast ha identificado otros 29 modelos de rastreadores GPS que contienen estas vulnerabilidades de seguridad, la mayoría de los cuales son fabricados por el proveedor mencionado anteriormente, así como 50 aplicaciones móviles diferentes que comparten la misma plataforma no encriptada discutida. sobre. Los investigadores estiman que hay más de 600.000 dispositivos en la naturaleza con contraseñas predeterminadas “123456” y más de 500.000 descargas de las aplicaciones móviles. Las notificaciones repetidas al fabricante del dispositivo que revelaban las fallas no recibieron respuesta.

Leena Elias, jefa de entrega de productos de Avast, insta al público a tener cuidado al llevar dispositivos inteligentes baratos o de imitación al hogar. “Como padres, nos inclinamos a adoptar la tecnología que promete ayudar a mantener seguros a nuestros hijos, pero debemos ser conocedores de los productos que compramos”, dijo. “Tenga cuidado con los fabricantes que no cumplen con los estándares mínimos de seguridad o carecen de certificaciones o respaldos de terceros. Compre solo con marcas en las que confíe para mantener sus datos seguros; el costo adicional vale la pena “.

Para un análisis profundo de las fallas de seguridad encontradas en el rastreador GPS T8 Mini, visite el blog de inteligencia de amenazas de Avast Decoded. Para escuchar a Leena y Martin discutir las implicaciones para los padres, vea este video en el blog de Avast.

Sobre Avast
Avast (LSE: AVST) es el líder mundial en productos de seguridad digital. Con más de 400 millones de usuarios en línea, Avast ofrece productos de las marcas Avast y AVG que protegen a las personas de las amenazas en Internet y el panorama de amenazas de IoT en evolución. La red de detección de amenazas de la compañía se encuentra entre las más avanzadas del mundo y utiliza tecnologías de aprendizaje automático e inteligencia artificial para detectar y detener amenazas en tiempo real. Los productos de seguridad digital de Avast para dispositivos móviles, PC o Mac están entre los primeros clasificados y certificados por VB100, AV-Comparatives, AV-Test, OPSWAT, West Coast Labs y otros. Visite: www.avast.com.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar
Cerrar