Descubren fallas de seguridad en dispositivos GPS que exponen las ubicaciones de más de medio millón de personas

La empresa de seguridad informática Avast, descubrió serias vulnerabilidades de seguridad en el rastreador GPS T8 y casi 30 modelos más del mismo fabricante, Shenzen i365 Tech.

Estos dispositivos que son vendidos para mantener la seguridad de chicos, personas mayores, mascotas y objetos, por el contrario, dejan expuestos todos los datos enviados a la nube, incluyendo las coordenadas GPS de ubicación en tiempo real.

Además, estos defectos de diseño pueden permitir que terceros no deseados falsifiquen la ubicación o accedan al micrófono para espionaje. Los Investigadores del Laboratorio de Amenazas de Avast (Avast Threat Labs) estiman que hay 60,000 dispositivos sin protección en uso globalmente, pero enfatizan que estos problemas de seguridad de Internet de las Cosas (IoT, por sus siglas en inglés) van más allá del rango de un solo vendedor.

Martin Hron, Investigador Senior de Avast, quien lideró esta investigación, recomienda a los compradores optar por productos de una marca más confiable, que haya incluido la seguridad como parte de su diseño, específicamente inicio de sesión seguro y una fuerte encriptación de datos. Como con cualquier dispositivo listo para usarse, recomendamos cambiar el usuario y contraseña de fábrica a unos más complejos.

Sin embargo, en este caso, eso aun no detendría a un individuo con intenciones de interceptar el tráfico no encriptado. “Hemos cumplido nuestro deber de revelar estas vulnerabilidades al fabricante, pero debido a que no hemos recibido respuesta después de un lapso de tiempo standard, estamos liberando este Anuncio de Servicio Público a los consumidores, y recomendamos fuertemente que dejen de usar estos dispositivos”.

Alertas desde que salen de la caja

El  Laboratorio de Amenazas de Avast analizó primero el proceso de incorporación del T8, siguiendo las instrucciones para descargar la app móvil de complemento de http://en.i365gps.com – notablemente, un sitio bajo el protocolo HTTP, en lugar del más seguro HTTPS. Los usuarios pueden iniciar sesión con su ID asignado y una contraseña genérica consistente en “123456”. Esta información también fue transmitida bajo el protocolo inseguro HTTP.

El número de ID está derivado del IMEI (International Mobile Equipment Identity) del dispositivo, por lo que fue sencillo para los investigadores predecir y enumerar posibles números de identificación de los rastreadores de este fabricante. Esto, en combinación con la contraseña fija, provoca que prácticamente cualquier dispositivo pueda ser interceptado, sin mucho esfuerzo, siguiendo la secuencia de números IMEI.

Nada está encriptado

Usando una simple herramienta de búsqueda de comandos, los investigadores descubrieron que todas las solicitudes originadas en la aplicación web del rastreador son transmitidas en texto simple sin encriptar. Aún más preocupante, el dispositivo puede enviar comandos más allá de las funcionalidades previstas del rastreador GPS, como:

• Llamar por teléfono, permitiendo a cualquiera espiar desde el micrófono del rastreador.
• Mandar un mensaje SMS, que podría permitir que un atacante identifique el número de teléfono del dispositivo y, por lo tanto, use el SMS entrante como un vector de ataque.
• Usar SMS para redirigir la comunicación del dispositivo hacia un servidor alterno para obtener control total del dispositivo o falsificar la información enviada a la nube.
• Compartir una dirección URL al rastreador, permitiendo al atacante remoto colocar un nuevo firmware en el dispositivo, sin siquiera tocarlo, lo que podría reemplazar completamente la funcionalidad o implantar una puerta trasera.

No es fue sorpresivo  encontrar que la app móvil complementaria, AIBEILE (disponible en Google Play e  iOS App Store), también se comunica con la nube por medio de un puerto HTTP no estándar, TCP:8018 (un protocolo de transmisión inseguro), enviando texto simple sin encriptar al servidor.

Al desarmar el dispositivo mismo para analizar cómo interactúa con la nube, el Laboratorio de Amenazas de Avast confirmó que los datos son transmitidos una vez más sin encriptar, desde la red GMS al servidor, sin ninguna autorización.