Dětské GPS lokátory děravé jak řešeto: bez šifrování a s heslem 123456
9.9.2019, Milan Šurkala, aktualita
Společnost Avast si posvítila na mobilní GPS lokátory a zjistila, že úroveň zabezpečení snad už ani nemůže být horší. Některé z nich nevyužívají žádnou formu šifrování a heslo k účtu je nedoporučované 123456.
Pokud potřebujete vědět, kde se nachází vaše děti, pes nebo třeba auto v případě krádeže, můžete uvažovat o nákupu GPS lokátoru. Jak ale zjistila společnost Avast, mnohé výrobky mohou nabourávat soukromí kvůli naprosto tristnímu zabezpečení. Místo zvyšování bezpečnosti ji tak mohou naopak snižovat. Základem těchto zařízení je GPS modul, nějaký jednoduchý procesor a GPRS modem se SIM kartou. Jedním ze studovaných zařízení byl T8 Mini GPS Tracker, který lze sehnat pod $50.
Avast zjistil např. to, že webové rozhraní pro přihlašování k systému využívá běžné nešifrované HTTP. Dalším problémem je to, že se zde dá přihlásit pomocí sériového čísla lokátoru a hesla. Jenže sériové číslo IMEI je kratší, než by mělo být (11 číslic místo 15) a mnoho lokátorů má stejnou předponu. Poněvadž je zde nastaveno výchozí heslo 123456 z výroby (a nikoli nějaké unikátní heslo pro každý lokátor zvlášť), je tak velmi jednoduché trefit fungující kombinaci sériového čísla a hesla, protože to spousta lidí nezmění. Snadno si tak ve webovém rozhraní kdokoli může nastavit své telefonní číslo a údaje z lokátoru budou chodit SMS zprávou jemu a nikoli tomu, komu by v případě nouze měly.
Avast navíc zjistil, že použité API bylo implementováno v mnoha dalších lokátorech, kde hrozí podobný problém. Zkusil se tedy připojit ke 4 milionům lokátorům a 600 tisíc z nich bylo aktivních s výchozím heslem. Z vybrané podmnožiny 1 milionů čísel IMEI pak byl schopen se připojit k 231 tisícům z nich, přiščemž ze 167 tisíc dostal data o poloze a šlo o zařízení 29 různých výrobců.