A Avast descobriu falhas de segurança nos rastreadores GPS T8 Mini GPS. Confira os detalhes dessa perigosa ameaça e veja o que fazer.
O serviço de localização GPS é utilizado no mundo todo para atender a diferentes necessidades. Mas apesar de todo o cuidado de alguns fabricantes de equipamentos que usam o serviço, nem todos cuidam da segurança de seus usuários.
Avast descobriu falhas de segurança nos rastreadores GPS T8 Mini GPS
A Avast descobriu sérias vulnerabilidades de segurança no rastreador T8 Mini GPS e em quase 30 outros modelos do mesmo fabricante, a Shenzhen i365 Tech.
Comercializados para manter crianças, idosos, animais de estimação e até pertences seguros, esses dispositivos expõem todos os dados enviados para a nuvem, incluindo as coordenadas exatas do GPS em tempo real.
Além disso, falhas do projeto podem permitir que terceiros indesejados falsifiquem o local ou acessem o microfone para espionar.
Os pesquisadores do Laboratório de Ameaças da Avast estimam que existem 600.000 rastreadores sem proteção em uso no mundo todo, mas enfatizam que esses problemas de segurança de IoT vão muito além do escopo de um único fornecedor.
Martin Hron, pesquisador sênior da Avast que liderou essa pesquisa, aconselha os consumidores a escolher opções de marcas que incorporam segurança ao projeto do produto, especificamente login seguro e uma forte criptografia de dados.
Como em qualquer dispositivo de prateleira, recomenda-se alterar a senha padrão do administrador para uma mais complexa – neste caso, no entanto, mesmo isso não impedirá que um indivíduo motivado intercepte o tráfego não criptografado.
Sobre a descoberta, Hron disse o seguinte:
“Tomamos as devidas providências na divulgação dessas vulnerabilidades para o fabricante, mas, como não recebemos resposta após o período de tempo padrão, agora estamos emitindo este anúncio de serviço público aos consumidores e aconselhamos fortemente que os usuários interrompam o uso desses dispositivos.”
- Como instalar o jogo AstroMenace no Linux via Flatpak
- Como instalar o jogo Biplanes Revival no Linux via Flatpak
- Instalando o simulador de corridas Speed Dreams no Linux
- Como instalar o jogo de corrida SuperTuxKart no Linux
Sinais de vulnerabilidades
Primeiramente, o Laboratório de Ameaças da Avast analisou o processo de onboarding do T8 Mini, seguindo as instruções para fazer o download do aplicativo para o dispositivo móvel de acompanhamento em http://en.i365gps.com.
Curiosamente, trata-se de um site veiculado por protocolo HTTP ao invés de HTTPS mais seguro.
Os usuários podem fazer o login na conta com um número de identificação atribuído e uma senha padrão muito genérica de “123456”. E essas informações também foram transmitidas por protocolo HTTP inseguro.
O número de identificação do dispositivo é derivado do IMEI (International Mobile Equipment Identity), portanto, foi fácil para os pesquisadores prever e enumerar possíveis números de identificação de outros rastreadores por este fabricante.
Combinado com a senha fixa, praticamente qualquer dispositivo seguindo essa sequência de números IMEI poderia ser invadido com pouco esforço.
Nada é criptografado
Usando uma simples ferramenta de busca de comando, os pesquisadores descobriram que todas as solicitações originadas no aplicativo web do rastreador são transmitidas em texto sem criptografia. Ainda mais preocupante, o dispositivo pode emitir comandos além do uso pretendido de rastreamento GPS, como:
- Ligar para um número de telefone, permitindo que terceiros interceptem o microfone do rastreador;
- Enviar uma mensagem SMS, que pode permitir que um invasor identifique o número de telefone do dispositivo e, assim, use o SMS de entrada como um vetor de ataque;
- Usar o SMS para redirecionar a comunicação do dispositivo para um servidor alternativo, para obter o controle total do dispositivo ou falsificar as informações enviadas à nuvem;
- Compartilhar a URL com o rastreador, permitindo que um invasor remoto coloque um novo firmware no dispositivo sem sequer tocá-lo, o que poderia substituir completamente a funcionalidade ou implantar um backdoor.
Sem surpresa, o aplicativo para o dispositivo móvel de acompanhamento AIBEILE (no Google Play e iOS App Store) também foi encontrado se comunicando com a nuvem por meio de uma porta HTTP não padrão, TCP:8018, enviando um texto sem criptografia para o endpoint.
Ao dissecar o próprio dispositivo para analisar como ele se comunicava com a nuvem, o Laboratório de Ameaças da Avast confirmou que os dados novamente viajam sem criptografia da rede GSM para o servidor, sem nenhuma autorização.
O que os consumidores devem extrair desta pesquisa
Além do dispositivo que é o foco desta pesquisa, a Avast identificou 29 outros modelos de rastreadores GPS que contêm essas vulnerabilidades de segurança – a maioria deles são fabricados pelo fornecedor mencionado acima -, além de 50 diferentes aplicativos para dispositivos móveis que compartilham a mesma plataforma não criptografada discutida anteriormente.
Os pesquisadores estimam que existem mais de 600.000 dispositivos com senhas padrão “123456” e mais de 500.000 downloads dos aplicativos dos dispositivos móveis.
As repetidas notificações para o fabricante do dispositivo, revelando as falhas, não tiveram respostas.
Leena Elias, chefe de entrega de produtos da Avast, pede ao público que tome precauções ao trazer imitações ou versões baratas de dispositivos inteligentes para casa.
“Como pais, estamos propensos a adotar a tecnologia que promete ajudar a manter os nossos filhos em segurança, mas devemos ter conhecimento dos produtos que compramos.”
“Cuidado com os fabricantes que não atendem os padrões mínimos de segurança ou não possuem certificações, ou recomendações de terceiros. Compre apenas marcas confiáveis para manter os seus dados seguros – o custo extra vale a paz de espírito.”
Para uma análise mais profunda sobre as falhas de segurança encontradas no rastreador T8 Mini GPS, visite o blog de Inteligência de Ameaças Avast Decoded.
Mais informações também estão disponíveis no blog da Avast.
O que está sendo falado no blog
- Avast descobriu falhas de segurança nos rastreadores GPS T8 Mini GPS
- Chrome 77 lançado com uma nova animação nos favicon de sites
- RawTherapee 5.7 lançado – Confira as novidades e veja como instalar
- Microsoft anunciou uma conferência sobre Linux para março de 2020
- Clear Linux reduziu o tempo de boot do kernel de 3 segundos para 300 ms