Avast descubre fallas de seguridad en rastreadores GPS generalizados que exponen ubicaciones de más de medio millón de niños y ancianos.

0 84 3 minutos de lectura

Avast [LSE:AVST], líder mundial en productos de seguridad digital, ha descubierto graves vulnerabilidades de seguridad en el rastreador GPS T8 Mini y en casi 30 modelos más del mismo fabricante, Shenzhen i365 Tech. Comercializados para mantener seguros a los niños, las personas mayores, las mascotas e incluso las posesiones, estos dispositivos exponen todos los datos enviados a la nube, incluidas las coordenadas GPS exactas en tiempo real. Además, los defectos de diseño pueden permitir que terceros no deseados falsifiquen la ubicación o accedan al micrófono para espiar. Los investigadores de Avast Threat Labs estiman que hay 600.000 rastreadores desprotegidos en uso en todo el mundo, pero enfatizan que estos problemas de seguridad de IoT van mucho más allá del alcance de un solo proveedor.

Martin Hron, investigador senior de Avast que dirigió esta investigación, aconseja a los compradores de estos productos que opten por una alternativa de una marca más confiable que haya incorporado seguridad en el diseño del producto. Al igual que con cualquier dispositivo estándar, recomendamos cambiar las contraseñas de administrador predeterminadas a algo más complejo; sin embargo, en este caso, ni siquiera eso impedirá que una persona motivada intercepte el tráfico no cifrado. “Hemos hecho nuestra debida diligencia al revelar estas vulnerabilidades al fabricante, pero dado que no hemos recibido respuesta después del período de tiempo estándar, ahora estamos emitiendo este Anuncio de Servicio Público a los consumidores y le recomendamos encarecidamente que deje de usar estos dispositivos. —Dijo Hron.

Banderas rojas desde el primer momento

Avast Threat Labs analizó primero el proceso de incorporación del T8 Mini, siguiendo las instrucciones para descargar la aplicación móvil complementaria de http://en.i365gps.com, en particular, un sitio web servido a través del protocolo HTTP en lugar del HTTPS más seguro. Luego, los usuarios pueden iniciar sesión en su cuenta con su número de identificación asignado y una contraseña predeterminada muy genérica de «123456». Esta información también se transmitió a través de un protocolo HTTP inseguro.

El número de identificación se deriva de la identidad internacional de equipo móvil (IMEI) del dispositivo, por lo que fue fácil para los investigadores predecir y enumerar los posibles números de identificación de otros rastreadores de este fabricante. Combinada con la contraseña fija, prácticamente cualquier dispositivo que siga esta secuencia de números IMEI podría ser ingresado con poco esfuerzo.

Todo esta sin encriptar

Con una sencilla herramienta de búsqueda de comandos, los investigadores descubrieron que todas las solicitudes que se originan en la aplicación web del rastreador se transmiten en texto plano sin cifrar. Aún más preocupante, el dispositivo puede emitir comandos más allá de los usos previstos del rastreo por GPS, como:

· Llamar a un número de teléfono, lo que permite a un tercero espiar a través del micrófono del rastreador

· Enviar un mensaje SMS, que podría permitir a un atacante identificar el número de teléfono del dispositivo y así utilizar los SMS entrantes como vector de ataque

· Utilice SMS para redirigir la comunicación desde el dispositivo a un servidor alternativo con el fin de obtener el control total del dispositivo o falsificar la información enviada a la nube

· Comparte una URL con el rastreador, lo que permite a un atacante remoto colocar nuevo firmware en el dispositivo sin siquiera tocarlo, lo que podría reemplazar completamente la funcionalidad o implantar una puerta trasera

Como era de esperar, también se encontró que la aplicación móvil complementaria AIBEILE (tanto en Google Play como en la App Store de iOS) se comunicaba con la nube a través de un puerto HTTP no estándar, TCP: 8018, enviando texto sin cifrar sin cifrar al punto final. Al analizar el dispositivo en sí para analizar cómo le habla a la nube, Avast Threat Labs confirmó que los datos viajan nuevamente sin cifrar desde la red GSM al servidor sin ninguna autorización.

Lo que los consumidores deberían sacar de esta investigación

Además del dispositivo que es el foco de esta investigación, Avast ha identificado otros 29 modelos de rastreadores GPS que contienen estas vulnerabilidades de seguridad, la mayoría de los cuales son fabricados por el proveedor mencionado anteriormente, así como 50 aplicaciones móviles diferentes que comparten la misma plataforma no encriptada discutida. sobre. Los investigadores estiman que hay más de 600.000 dispositivos en la naturaleza con contraseñas predeterminadas «123456» y más de 500.000 descargas de las aplicaciones móviles. Las notificaciones repetidas al fabricante del dispositivo que revelaban las fallas no recibieron respuesta.

Leena Elias, jefa de entrega de productos de Avast, insta al público a tener cuidado al llevar dispositivos inteligentes baratos o de imitación al hogar. “Como padres, nos inclinamos a adoptar la tecnología que promete ayudar a mantener seguros a nuestros hijos, pero debemos ser conocedores de los productos que compramos”, dijo. “Tenga cuidado con los fabricantes que no cumplen con los estándares mínimos de seguridad o carecen de certificaciones o respaldos de terceros. Compre solo con marcas en las que confíe para mantener sus datos seguros; el costo adicional vale la pena «.

Para un análisis profundo de las fallas de seguridad encontradas en el rastreador GPS T8 Mini, visite el blog de inteligencia de amenazas de Avast Decoded. Para escuchar a Leena y Martin discutir las implicaciones para los padres, vea este video en el blog de Avast.

Sobre Avast
Avast (LSE: AVST) es el líder mundial en productos de seguridad digital. Con más de 400 millones de usuarios en línea, Avast ofrece productos de las marcas Avast y AVG que protegen a las personas de las amenazas en Internet y el panorama de amenazas de IoT en evolución. La red de detección de amenazas de la compañía se encuentra entre las más avanzadas del mundo y utiliza tecnologías de aprendizaje automático e inteligencia artificial para detectar y detener amenazas en tiempo real. Los productos de seguridad digital de Avast para dispositivos móviles, PC o Mac están entre los primeros clasificados y certificados por VB100, AV-Comparatives, AV-Test, OPSWAT, West Coast Labs y otros. Visite: www.avast.com.

Avast descubre fallas de seguridad en rastreadores GPS generalizados que exponen ubicaciones de más de medio millón de niños y ancianos.

Deja una respuesta Cancelar la respuesta

Los atacantes persistentes rara vez utilizan malware a medida.

Cómo ver Netflix gratis para siempre

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Estúpidos trucos terminales: el loro de baile de ASCII Party

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

WhatsApp puede ser secuestrado, ¡vigile sus dispositivos!

IBM Mainframe marca el comienzo de una nueva era de protección de datos

Se proyecta que el estado de Utah ahorrará millones de dólares con la solución integrada ServiceNow de Forescout.

El costo del tiempo de inactividad de Delta destaca la necesidad de realizar pruebas de DR

Deja una respuesta Cancelar la respuesta

Los atacantes persistentes rara vez utilizan malware a medida.