Las fallas en más de medio millón de rastreadores GPS exponen los datos de ubicación de los niños

dispositivo de rastreo gps para niños

¿Qué pasaría si la tecnología tuviera la intención de garantizar que sus hijos, personas mayores y mascotas estén seguros, incluso cuando están fuera de la vista, sin darse cuenta los expone a los acosadores?

Un estimado de 600,000 dispositivos de rastreo GPS a la venta en Amazon y otros grandes comerciantes en línea por $ 25– $ 50 se han encontrado vulnerables a un puñado de vulnerabilidades peligrosas que pueden haber expuesto las ubicaciones en tiempo real del usuario, afirman los investigadores de seguridad.

Investigadores de ciberseguridad de Avast descubrieron que 29 modelos de rastreadores GPS fabricados por empresa de tecnología china shenzhen i365 para vigilar a los niños pequeños, los parientes ancianos y las mascotas contienen una serie de vulnerabilidades de seguridad.

Además, más de medio millón de dispositivos de seguimiento se enviaron con la misma contraseña predeterminada de «123456», lo que brinda a los atacantes la oportunidad de acceder fácilmente a la información de seguimiento para aquellos que nunca cambiaron la contraseña predeterminada.

Vulnerabilidades en Dispositivos de Rastreo GPS

dispositivo de rastreo gps para niños

Las vulnerabilidades informadas del dispositivo de rastreo GPS podrían permitir a los atacantes remotos con solo una conexión a Internet:

  • rastrear las coordenadas GPS en tiempo real del usuario del dispositivo,
  • falsificar los datos de ubicación del dispositivo para dar una lectura inexacta, y
  • acceder al micrófono de los dispositivos para escuchar a escondidas.

La mayoría de las vulnerabilidades descubiertas se basan en el hecho de que la comunicación entre los «rastreadores GPS y la nube», «la nube y las aplicaciones móviles complementarias del dispositivo» y «los usuarios y la aplicación basada en la web del dispositivo» utilizan el protocolo HTTP de texto sin cifrar. , lo que permite a los atacantes de MiTM interceptar datos intercambiados y emitir comandos no autorizados.

«Todas las comunicaciones en la aplicación web pasan por HTTP. Todas las solicitudes JSON están nuevamente sin cifrar y en texto sin formato», explican los investigadores en un informe detallado.

«Puede hacer que el rastreador llame a un número de teléfono arbitrario y, una vez conectado, puede escuchar a través del rastreador a la otra parte sin su conocimiento. La comunicación es un protocolo basado en texto, y lo más preocupante es la falta de autorización. Todo el asunto funciona simplemente identificando el rastreador por su IMEI».

Espiar la ubicación GPS en tiempo real con un SMS

Además de esto, los investigadores también encontraron que los atacantes remotos también pueden obtener coordenadas GPS en tiempo real de un dispositivo objetivo simplemente enviando un SMS al número de teléfono asociado con la tarjeta SIM (insertada en el dispositivo) que proporciona capacidades de DATOS + SMS al dispositivo. .

hackear dispositivo de rastreo gps para niños

Aunque los atacantes primero necesitan saber el número de teléfono asociado y la contraseña del rastreador para llevar a cabo este ataque, los investigadores dijeron que uno puede explotar las fallas relacionadas con la nube/aplicación móvil para ordenar al rastreador que envíe un SMS a un número de teléfono arbitrario en su nombre, lo que permite un atacante para obtener el número de teléfono del dispositivo.

Ahora, con el acceso al número de teléfono y la contraseña del dispositivo ‘123456’ para casi todos los dispositivos, el atacante puede usar el SMS como vector de ataque.

El análisis del T8 Mini GPS Tracker Locator realizado por los investigadores también encontró que sus usuarios fueron dirigidos a un sitio web no seguro para descargar la aplicación móvil complementaria del dispositivo, exponiendo la información de los usuarios.

Más de medio millón de personas que usan rastreadores GPS afectados

Los modelos afectados de rastreadores GPS incluyen T58, A9, T8S, T28, TQ, A16, A6, 3G, A18, A21, T28A, A12, A19, A20, A20S, S1, P1, FA23, A107, RomboGPS, PM01, A21P , PM02, A16X, PM03, WA3, P1-S, S6 y S9.

Aunque el fabricante de estos rastreadores GPS, Shenzhen i365, tiene su sede en China, el análisis de Avast encontró que estos rastreadores GPS se usan ampliamente en los Estados Unidos, Europa, Australia, América del Sur y África.

Los investigadores dijeron que notificaron en privado al proveedor sobre las vulnerabilidades de seguridad críticas el 24 de junio y se comunicaron con la empresa varias veces, pero nunca obtuvieron una respuesta.

Martin Hron, investigador sénior de Avast, dijo:

«Hemos hecho nuestra diligencia debida al revelar estas vulnerabilidades al fabricante, pero dado que no hemos recibido respuesta después del período de tiempo estándar, ahora emitimos este anuncio de servicio público a los consumidores y les recomendamos encarecidamente que dejen de usar estos dispositivos. «

Los investigadores también recomendaron a las personas que hicieran parte de su investigación y eligieran un dispositivo seguro de un proveedor respetado, en lugar de buscar cualquier equipo barato de una compañía desconocida en Amazon, eBay u otros mercados en línea.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática