Ya teknoloji çocuklarınızın, yaşlıların ve evcil hayvanların gözden uzak olsalar bile güvende olmalarını sağlamak için tasarlanmışsa?
Güvenlik araştırmacılarının iddialarına göre, Amazon ve diğer büyük çevrimiçi sitelerde 25 ila 50 ABD Doları karşılığında satılan 600.000 GPS izleme cihazı, kullanıcının gerçek zamanlı konumlarını açığa çıkaran bir dizi tehlikeli güvenlik açığına karşı savunmasız kaldı.
Avast siber güvenlik araştırmacıları, Çinli teknoloji şirketi Shenzhen i365 tarafından küçük çocukları, yaşlıları ve evcil hayvanları takip etmek için yapılan 29 GPS izci modelinin bir dizi güvenlik açığı içerdiğini keşfettiler.
Dahası, yarım milyondan fazla izleme cihazı “123456” ile aynı varsayılan parolayla gönderildi ve bu da saldırganların varsayılan parolayı hiç değiştirmemiş olanların izleme bilgilerine kolayca erişmelerine fırsat verdi.
GPS İzleme Cihazlarındaki Güvenlik Açıkları
Bildirilen GPS izleme cihazı güvenlik açıkları, yalnızca İnternet bağlantısı olan uzaktan saldırganların şunları yapmasına olanak sağlayabilir:
- Cihazın kullanıcısına ait gerçek zamanlı GPS koordinatlarını izlemek,
- Yanlış bir okuma yapmak için cihazın konum verilerini tahrif etmek
- gizlice dinlemek için cihazların mikrofonuna erişim
Keşfedilen güvenlik açıklarının çoğu, ‘GPS izleyicileri ve Bulut’, ‘Bulut ve cihazın eşlik eden mobil Uygulamaları’ ve ‘Kullanıcılar ve cihazın web tabanlı uygulaması’ arasındaki iletişimin şifrelenmemiş düz metin HTTP protokolü kullanmasına dayanır. MiTM saldırganlarının değiştirilen verileri engellemesine ve yetkisiz komutlar vermelerine izin verir.
Araştırmacılar “Web uygulamasındaki tüm iletişim http üzerinden gidiyor. JSON’un tüm istekleri yine şifrelenmemiş ve düz metin olarak açıklanmıştır.” dedi.
“İzleyiciyi rasgele bir telefon numarası olarak arayabilir ve bağlandıktan sonra, onların bilgisi olmadan diğer taraf izleyici aracılığıyla dinleyebilirsiniz. İletişim metin tabanlı protokoldür ve en endişe verici şey yetkilendirme eksikliğidir. Her şey sadece iMEI ile izci tespit ederek çalışır.”
SMS ile Gerçek Zamanlı GPS Konumunda Casusluk Yapma
Bunun yanı sıra araştırmacılar, uzaktan saldırganların sadece SIM kartla ilişkili telefon numarasına SMS göndererek (cihaza eklenen) hedef bir cihazın gerçek zamanlı GPS koordinatlarını elde edebileceğini bulmuşlardır.
Saldırganların ilk önce bu saldırının gerçekleştirilmesi için izleyicinin ilişkili telefon numarasını ve şifresini bilmeleri gerekmesine rağmen, araştırmacılar izleyicinin kendi adına keyfi bir telefon numarasına SMS göndermesini sağlamak için bulut / mobil uygulama ile ilgili kusurlardan yararlanabileceğini söyledi.
Şimdi, neredeyse tüm cihazlar için cihazın telefon numarasına ve şifresine erişimin ‘123456’ olması nedeniyle, saldırgan SMS’i saldırı vektörü olarak kullanabilir.
Araştırmacılar tarafından T8 Mini GPS İzleyici Bulucu’nun analizi, kullanıcıların cihaz bilgilerini mobil uygulamasını indirmek için güvenli olmayan bir web sitesine yönlendirildiğini ve kullanıcıların bilgilerini açığa çıkardıklarını tespit etti.
Etkilenen GPS İzleyicileri Kullanan Yarım Milyondan Fazla Kişi
Etkilenen GPS izci modelleri arasında T58, A9, T8S, T28, TQ, A16, A6, 3G, A18, A21, T28A, A12, A19, A20, A20S, S1, P1, FA23, A107, Rom20G, PM01, A21P bulunur. , PM02, A16X, PM03, WA3, P1-S, S6 ve S9.
Bu GPS izleyicilerin üreticisi, Shenzhen i365, Çin merkezli olmasına rağmen, Avast’ın analizi, bu GPS izleyicilerin Amerika Birleşik Devletleri, Avrupa, Avustralya, Güney Amerika ve Afrika’da yaygın olarak kullanıldığını tespit etti.
Araştırmacılar, 24 Haziran’daki kritik güvenlik açıklarını satıcıya özel olarak bildirdiklerini ve şirkete defalarca ulaştığını, ancak hiçbir zaman yanıt alamadıklarını söyledi.
Avast’ta kıdemli araştırmacı Martin Hron şöyle dedi:
“Bu güvenlik açıklarını üreticiye açıklamada gerekli özeni göstermiştik, ancak standart zaman penceresinden sonra geri dönüş yapmadıkları için , şu anda bu kamu hizmeti duyurusunu tüketicilere veriyoruz ve bu aygıtları kullanmayı bırakmanızı şiddetle tavsiye ediyoruz. “
Araştırmacılar kullanıcılara Amazon, eBay veya diğer çevrimiçi pazarlardaki bilinmeyen bir şirketin ucuz ekipmanlarını almak yerine saygın bir satıcıdan güvenli bir cihaz seçmelerini tavsiye ettiler.