Avast descubre fallas de seguridad en dispositivos de rastreo GPS, que exponen las ubicaciones de más de medio millón de niños y personas mayores.
Investigadores advierten a consumidores acerca de las vulnerabilidades que afectan a 30 modelos de dispositivos de rastreo, representando los riesgos inherentes al Internet de las Cosas
Avast [LSE:AVST], líder global en seguridad digital, ha descubierto serias vulnerabilidades de seguridad en el rastreador GPS T8 y casi 30 modelos más del mismo fabricante, Shenzen i365 Tech. Estos dispositivos que son vendidos para mantener la seguridad de niños, personas mayores, mascotas y objetos, por el contrario, dejan expuestos todos los datos enviados a la nube, incluyendo las coordenadas GPS de ubicación en tiempo real. Además, estos defectos de diseño pueden permitir que terceros no deseados falsifiquen la ubicación o accedan al micrófono para espionaje. Los Investigadores del Laboratorio de Amenazas de Avast (Avast Threat Labs) estiman que hay 60,000 dispositivos sin protección en uso globalmente, pero enfatizan que estos problemas de seguridad de Internet de las Cosas (IoT, por sus siglas en inglés) van más allá del rango de un solo vendedor.
Martin Hron, Investigador Senior de Avast, quien lideró esta investigación, recomienda a los compradores optar por productos de una marca más confiable, que haya incluido la seguridad como parte de su diseño, específicamente inicio de sesión seguro y una fuerte encriptación de datos. Como con cualquier dispositivo listo para usarse, recomendamos cambiar el usuario y contraseña de fábrica a unos más complejos. Sin embargo, en este caso, eso aun no detendría a un individuo con intenciones de interceptar el tráfico no encriptado. “Hemos cumplido nuestro deber de revelar estas vulnerabilidades al fabricante, pero debido a que no hemos recibido respuesta después de un lapso de tiempo standard, estamos liberando este Anuncio de Servicio Público a los consumidores, y recomendamos fuertemente que dejen de usar estos dispositivos”.
Alertas desde que salen de la caja
El Laboratorio de Amenazas de Avast analizó primero el proceso de incorporación del T8, siguiendo las instrucciones para descargar la app móvil de complemento de http://en.i365gps.com – notablemente, un sitio bajo el protocolo HTTP, en lugar del más seguro HTTPS. Los usuarios pueden iniciar sesión con su ID asignado y una contraseña genérica consistente en “123456”. Esta información también fue transmitida bajo el protocolo inseguro HTTP.
El número de ID está derivado del IMEI (International Mobile Equipment Identity) del dispositivo, por lo que fue sencillo para los investigadores predecir y enumerar posibles números de identificación de los rastreadores de este fabricante. Esto, en combinación con la contraseña fija, provoca que prácticamente cualquier dispositivo pueda ser interceptado, sin mucho esfuerzo, siguiendo la secuencia de números IMEI.
Nada está encriptado
Usando una simple herramienta de búsqueda de comandos, los investigadores descubrieron que todas las solicitudes originadas en la aplicación web del rastreador son transmitidas en texto simple sin encriptar. Aún más preocupante, el dispositivo puede enviar comandos más allá de las funcionalidades previstas del rastreador GPS, como:
• Llamar por teléfono, permitiendo a cualquiera espiar desde el micrófono del rastreador.
• Enviar un mensaje SMS, que podría permitir que un atacante identifique el número de teléfono del dispositivo y, por lo tanto, use el SMS entrante como un vector de ataque
• Usar SMS para redirigir la comunicación del dispositivo hacia un servidor alterno para obtener control total del dispositivo o falsificar la información enviada a la nube.
• Compartir una dirección URL al rastreador, permitiendo al atacante remoto colocar un nuevo firmware en el dispositivo, sin siquiera tocarlo, lo que podría reemplazar completamente la funcionalidad o implantar una puerta trasera.
No es fue sorpresivo encontrar que la app móvil complementaria, AIBEILE (disponible en Google Play e iOS App Store), también se comunica con la nube por medio de un puerto HTTP no estándar, TCP:8018 (un protocolo de transmisión inseguro), enviando texto simple sin encriptar al servidor. Al desarmar el dispositivo mismo para analizar cómo interactúa con la nube, el Laboratorio de Amenazas de Avast confirmó que los datos son transmitidos una vez más sin encriptar, desde la red GMS al servidor, sin ninguna autorización.
Lo que los consumidores deben aprender de esta experiencia
Además del dispositivo que fue el foco de esta investigación, Avast ha identificado otros 29 modelos de rastreadores GPS con las mismas vulnerabilidades de seguridad– muchos de los cuales han sido fabricados por el mismo vendedor – así como 50 aplicaciones móviles distintas que comparten la misma plataforma, sin encriptación, mencionada anteriormente. Los investigadores estiman que hay más de 600.000 dispositivos de estos en uso con la contraseña “123456”, y más de 500.000 descargas de las aplicaciones móviles. Las repetidas notificaciones al fabricante del dispositivo revelando las fallas no recibieron respuesta.
Leena Elias, Jefa de Producto de Avast, recomienda al público a tener cuidado al traer dispositivos inteligentes “pirata” o baratos a la casa. “Como padres, nos inclinamos por la tecnología que promete mantener a nuestros hijos a salvo, pero debemos conocer los productos que compramos”, dijo. “Debemos tener cuidado con los fabricantes que no cumplen con los estándares mínimos de seguridad, o que carecen de certificaciones o aprobación de terceros. Solo debemos comprar a marcas de confianza para mantener nuestros datos seguros – el costo extra es nuestra tranquilidad”.