Pesquisadores alertam sobre vulnerabilidades que afetam dispositivos de rastreamento GPS, representando risco inerente paracrianças, idosos, animais de estimação e até bens seguros
Vulnerabilidades de segurança foram descobertas no rastreador T8 Mini GPS, da Shenzhen i365 Tech, e em cerca de 30 outros modelos da fabricante chinesa. As falhas foram diagnosticadas por pesquisadores do Laboratório de Ameaças da Avast, fornecedora de produtos de segurança digital.
Comercializados para manter crianças, idosos, animais de estimação e até pertences seguros, o rastreador T8 Mini GPS expõe todos os dados enviados para a nuvem, incluindo as coordenadas exatas do GPS em tempo real. Além disso, falhas do projeto podem permitir que um hacker falsifique o local ou acesse o microfone para espionar.
Os pesquisadores do Laboratório de Ameaças da Avast estimam que existam 600 mil rastreadores sem proteção em uso no mundo todo, mas enfatizam que esses problemas de segurança de IoT vão muito além do escopo de um único fornecedor.
Martin Hron, pesquisador sênior da Avast que liderou a pesquisa, aconselha os consumidores a escolher opções de marcas que incorporam segurança ao projeto do produto, especificamente login seguro e uma forte criptografia de dados. Como em qualquer dispositivo de prateleira, recomenda-se alterar a senha padrão do administrador para uma mais complexa – neste caso, no entanto, mesmo isso não impedirá que um indivíduo motivado intercepte o tráfego não criptografado. “Tomamos as devidas providências na divulgação dessas vulnerabilidades para o fabricante, mas, como não recebemos resposta após o período de tempo padrão, agora estamos emitindo este anúncio de serviço público aos consumidores e aconselhamos fortemente que os usuários interrompam o uso desses dispositivos”, diz Hron.
Sinais de vulnerabilidades
Primeiramente, o Laboratório de Ameaças da Avast analisou o processo de onboardingdo T8 Mini, seguindo as instruções para fazer o download do aplicativo para o dispositivo móvel de acompanhamento — curiosamente trata-se de um site veiculado por protocolo HTTP ao invés de HTTPS mais seguro. Os usuários podem fazer o login na conta com um número de identificação atribuído e uma senha padrão muito genérica de “123456”. Essas informações também foram transmitidas por protocolo HTTP inseguro.
O número de identificação do dispositivo é derivado do IMEI (International Mobile Equipment Identity), portanto, foi fácil para os pesquisadores prever e enumerar possíveis números de identificação de outros rastreadores por este fabricante. Combinado com a senha fixa, praticamente qualquer dispositivo seguindo essa sequência de números IMEI poderia ser invadido com pouco esforço.
Nada é criptografado
Usando uma simples ferramenta de busca de comando, os pesquisadores descobriram que todas as solicitações originadas no aplicativo web do rastreador são transmitidas em texto sem criptografia. Ainda mais preocupante, o dispositivo pode emitir comandos além do uso pretendido de rastreamento GPS, como:
● Ligar para um número de telefone, permitindo que terceiros interceptem o microfone do rastreador;
● Enviar uma mensagem SMS, que pode permitir que um invasor identifique o número de telefone do dispositivo e, assim, use o SMS de entrada como um vetor de ataque;
● Usar o SMS para redirecionar a comunicação do dispositivo para um servidor alternativo, para obter o controle total do dispositivo ou falsificar as informações enviadas à nuvem;
● Compartilhar a URL com o rastreador, permitindo que um invasor remoto coloque um novo firmware no dispositivo sem sequer tocá-lo, o que poderia substituir completamente a funcionalidade ou implantar uma backdoor (porta dos fundos, em tradução livre, ou seja, dispositivo que executa comandos não autorizados).
Sem surpresa, o aplicativo para o dispositivo móvel de acompanhamento AIBEILE (no Google Play e na Apple Store) também foi encontrado se comunicando com a nuvem por meio de uma porta HTTP não padrão, TCP:8018, enviando um texto sem criptografia para o endpoint (dispositivo que está conectado a um terminal de rede). Ao dissecar o próprio dispositivo para analisar como ele se comunicava com a nuvem, o Laboratório de Ameaças da Avast confirmou que os dados novamente viajam sem criptografia da rede GSM para o servidor, sem nenhuma autorização. A Avast diz ter identificado 29 outros modelos de rastreadores GPS que contêm essas vulnerabilidades de segurança ─ a maioria deles são fabricados pela Shenzhen i365 Tech —, além de 50 diferentes aplicativos para dispositivos móveis que compartilham a mesma plataforma não criptografada.
