Clicky

Errores en más de medio millón de rastreadores GPS exponen datos de ubicación de los niños

Rastrear niños con GPS

Un atacante también podría espiar la ubicación del GPS en tiempo real enviando un SMS

¿Qué pasaría si la tecnología tuviera la intención de garantizar que sus hijos, las personas mayores y las mascotas estén a salvo, incluso cuando están fuera de la vista, sin querer exponerlos a los acosadores?

Se estima que 600.000 dispositivos de rastreo GPS para la venta en Amazon y otros grandes comerciantes en línea por $ 25- $ 50 han sido vulnerables a un puñado de peligrosas vulnerabilidades que pueden haber expuesto las ubicaciones en tiempo real de los usuarios, según afirman investigadores de seguridad.

Investigadores de seguridad cibernética de Avast descubrieron que 29 modelos de rastreadores GPS fabricados por la empresa de tecnología china Shenzhen i365 para controlar a niños pequeños, parientes mayores y mascotas contienen una serie de vulnerabilidades de seguridad.

Además, se enviaron más de medio millón de dispositivos de seguimiento con la misma contraseña predeterminada de "123456", lo que brinda a los atacantes la oportunidad de acceder fácilmente a la información de seguimiento para aquellos que nunca cambiaron la contraseña predeterminada.

Vulnerabilidades en dispositivos de rastreo GPS

Las vulnerabilidades reportadas del dispositivo de rastreo GPS podrían permitir a los atacantes remotos con solo una conexión a Internet:

• Rastrear las coordenadas GPS en tiempo real del usuario del dispositivo,
• Falsificar los datos de ubicación del dispositivo para dar una lectura inexacta, y
• Acceder al micrófono de los dispositivos para escuchar a escondidas.

La mayoría de las vulnerabilidades descubiertas se basan en el hecho de que la comunicación entre los 'rastreadores GPS y la nube', 'la nube y las aplicaciones móviles complementarias del dispositivo' y 'los usuarios y la aplicación basada en la web del dispositivo', todos utilizan el protocolo HTTP de texto plano no cifrado, permitiendo a los atacantes de MiTM (ataque de intermediario) interceptar datos intercambiados y emitir comandos no autorizados.

rastreador GPS

"Todas las comunicaciones en la aplicación web pasan por HTTP. Todas las solicitudes JSON están nuevamente sin cifrar y en texto plano. Puede hacer que el rastreador llame a un número de teléfono arbitrario y, una vez conectado, puede escuchar a través del rastreador a la otra parte sin su conocimiento. La comunicación es un protocolo basado en texto, y lo más preocupante es la falta de autorización. Todo funciona simplemente identificando el rastreador por su IMEI", explican los investigadores en un informe detallado.

Espiar la ubicación del GPS en tiempo real con un SMS

Además de esto, los investigadores también encontraron que los atacantes remotos también pueden obtener coordenadas GPS en tiempo real de un dispositivo objetivo simplemente enviando un SMS al número de teléfono asociado con la tarjeta SIM (insertada en el dispositivo) que proporciona al dispositivo capacidades de DATA + SMS.

Aunque los atacantes necesitan saber primero el número de teléfono asociado y la contraseña del rastreador para llevar a cabo este ataque, los investigadores dijeron que uno puede explotar las fallas relacionadas con la nube/aplicación móvil para ordenar que el rastreador envíe un SMS a un número de teléfono arbitrario en nombre de sí mismo, lo que permite un atacante obtener el número de teléfono del dispositivo.

espiar con un SMS

Luego, con el acceso al número de teléfono y la contraseña del dispositivo como '123456' para casi todos los dispositivos, el atacante puede usar el SMS como un vector de ataque.

El análisis del T8 Mini GPS Tracker Locator por parte de los investigadores también encontró que sus usuarios fueron dirigidos a un sitio web no seguro para descargar la aplicación móvil complementaria del dispositivo, exponiendo la información de los usuarios.

Más de medio millón de personas usan los rastreadores GPS afectados

Los modelos afectados de rastreadores GPS incluyen: T58, A9, T8S, T28, TQ, A16, A6, 3G, A18, A21, T28A, A12, A19, A20, A20S, S1, P1, FA23, A107, RomboGPS, PM01, A21P, PM02, A16X, PM03, WA3, P1-S, S6, y S9.

Aunque el fabricante de estos rastreadores GPS, Shenzhen i365, tiene su sede en China, el análisis de Avast encontró que estos rastreadores GPS son ampliamente utilizados en los Estados Unidos, Europa, Australia, América del Sur y África.

Los investigadores dijeron que el 24 de junio notificaron en privado al vendedor las vulnerabilidades críticas de seguridad y contactaron a la compañía varias veces, pero nunca recibieron una respuesta.

Martin Hron, investigador senior de Avast, dijo:

"Hemos realizado nuestra debida diligencia para divulgar estas vulnerabilidades al fabricante, pero como no hemos tenido noticias después del plazo estándar, ahora estamos emitiendo este anuncio de servicio público a los consumidores y le recomendamos encarecidamente que dejen de usar estos dispositivos".

Los investigadores también aconsejaron a las personas que hicieran parte de su investigación y eligieran un dispositivo seguro de un proveedor respetado, en lugar de buscar cualquier equipo barato de una compañía desconocida en Amazon, eBay u otros mercados en línea.

Jesus_Caceres