600.000 gps-trackers online toegankelijk via wachtwoord '123456'
Op internet zijn 600.000 goedkope gps-trackers van verschillende leveranciers gevonden die via het standaardwachtwoord '123456' toegankelijk zijn waardoor kwaadwillenden gebruikers kunnen bespioneren, zo laat antivirusbedrijf Avast op basis van eigen onderzoek weten. De gps-trackers kunnen worden gebruikt om de locatie van kinderen, ouderen, huisdieren en zelfs auto's te bepalen.
Voor het onderzoek keken de onderzoekers naar een gps-tracker die op Amazon onder de naam T8 Mini GPS Tracker wordt aangeboden. Later blijkt dat de gebruikte hardware van één fabrikant afkomstig is en dat meerdere leveranciers het product onder verschillende namen aanbieden. De gps-tracker beschikt onder andere over een speaker en microfoon. De locatie van de tracker is te vinden via een mobiele app en website. Inloggen op de website, die via het onversleutelde http wordt aangeboden, kan via het tracker-ID en het standaardwachtwoord '123456'.
De onderzoekers ontdekten dat het tracker-ID van andere gps-trackers eenvoudig te enumereren is. Aangezien al deze trackers standaard het wachtwoord '123456' gebruiken is het zo kinderspel voor kwaadwillenden om op de website in te loggen en de locatie van de drager te zien. Niet alleen is het mogelijk om de locatie te achterhalen, een aanvaller kan de tracker ook een willekeurig telefoonnummer laten bellen of sms-bericht versturen. Op deze manier is het telefoonnummer van de tracker te achterhalen. Vervolgens is het mogelijk om de gps-tracker via sms allerlei instructies te geven.
Om een indruk van het aantal kwetsbare gps-trackers te krijgen besloten de onderzoekers vier miljoen willekeurige serienummers te scannen. Dit leverde 600.000 gps-trackers met het standaardwachtwoord '123456' op. Een aanvaller zou al deze trackers een nummer kunnen laten bellen om zo de drager van de gps-tracker af te luisteren, zonder dat die dit doorheeft. Ook is het mogelijk om de locatie te spoofen, waardoor het lijkt alsof de drager ergens anders is dan in de mobiele applicatie of website wordt aangegeven.
In totaal ging het om 29 verschillende modellen die onder verschillende namen worden aangeboden. De onderzoekers vermoeden dat de infrastructuur van de gps-trackers en de apparaten zelf als white label worden aangeboden en onder verschillende merknamen worden verkocht. Daarnaast werden zo'n vijftig verschillende mobiele applicaties gevonden die hetzelfde cloudplatform delen. Avast waarschuwde de aanbieder van de gps-trackers, maar kreeg geen reactie. Daarop besloot het bedrijf de bevindingen openbaar te maken.
Is het wachtwoord door de gebruiker wel of niet in te stellen? Dat wordt hier niet gemeld.
Zo niet dan is het ene fout van de leverancier, maar zo wel, dan heeft dit nix met de leverancier te maken, maar met de domme gebruiker.
http vs httpS is een ander verhaal, voor https heeft het device een certificaat nodig, dat is lastig voor gebruikers in te stellen (aanvragen/kosten - geen certbot). Je zou natuurlijk https kunnen doen met een vaste uitzondering, toch nog een beetje versleuteld.
http vs httpS is een ander verhaal, voor https heeft het device een certificaat nodig, dat is lastig voor gebruikers in te stellen (aanvragen/kosten - geen certbot). Je zou natuurlijk https kunnen doen met een vaste uitzondering, toch nog een beetje versleuteld.
http vs httpS is een ander verhaal, voor https heeft het device een certificaat nodig, dat is lastig voor gebruikers in te stellen (aanvragen/kosten - geen certbot). Je zou natuurlijk https kunnen doen met een vaste uitzondering, toch nog een beetje versleuteld.
leuk voor een telefonische/SMS DDoS, of ik laat ze allemaal mijn dure 06-nummer bellen.
http vs httpS is een ander verhaal, voor https heeft het device een certificaat nodig, dat is lastig voor gebruikers in te stellen (aanvragen/kosten - geen certbot). Je zou natuurlijk https kunnen doen met een vaste uitzondering, toch nog een beetje versleuteld.
Ook voor de rest een chinese gatenkaas. (meerdere security/privacy problemen)
Is het wachtwoord door de gebruiker wel of niet in te stellen? Dat wordt hier niet gemeld.
Zo niet dan is het ene fout van de leverancier, maar zo wel, dan heeft dit nix met de leverancier te maken, maar met de domme gebruiker.
http vs httpS is een ander verhaal, voor https heeft het device een certificaat nodig, dat is lastig voor gebruikers in te stellen (aanvragen/kosten - geen certbot). Je zou natuurlijk https kunnen doen met een vaste uitzondering, toch nog een beetje versleuteld.
https://static.webshopapp.com/shops/072547/files/037044716/handleiding-mini-gps-tracker-vindmijterug.pdf (dit is waarschijnlijk de goede daar hier ook het pw 123456 wordt genoemd)
Is het wachtwoord door de gebruiker wel of niet in te stellen? Dat wordt hier niet gemeld.
Zo niet dan is het ene fout van de leverancier, maar zo wel, dan heeft dit nix met de leverancier te maken, maar met de domme gebruiker.
Bedenk dat mensen zeer uiteenlopende talenten hebben. Er zijn briljante techneuten die geen zin goed Nederlands weten te schrijven en mensen die vijf talen vloeiend spreken die geen enkele affiniteit met techniek hebben. Ergens niet goed in zijn is iets volkomen anders dan dom zijn.
Niet dat werkelijk domme mensen niet bestaan, maar ook dan los je niets op door te vinden dat het hun fout is. Domme mensen kunnen er niets aan doen dat ze dom zijn, dom of intelligent zijn is niet iets wat je doet maar iets wat je bent. Iemand met een IQ van 70 gaat het zelfs met de grootst mogelijke moeite echt niet lukken dat op te krikken naar 100 of 130, dat zit er gewoon niet in.
https://static.webshopapp.com/shops/072547/files/037044716/handleiding-mini-gps-tracker-vindmijterug.pdf (dit is waarschijnlijk de goede daar hier ook het pw 123456 wordt genoemd)
https://007spygear.com/products/Waterproof-Mini-GPS-Tracker-T8.html
https://www.tmart.com/T8-Mini-GPS-Tracker-Locator-Personal-Google-Map-SOS-GSM-GPRS-Tracker-for-Kids_p358434.html
Die is te koop op diverse websites voor nogal uiteenlopende prijzen ($99 en $31,86 op de genoemde websites, en $99 is nog niet eens de duurste die ik tegenkwam). Ik heb geen online handleiding gevonden maar de specificaties geven aan dat er een smartphone-app bij hoort en er niet via SMS maar via GPRS gecommuniceerd wordt. Het kan heel goed van dezelfde fabrikant zijn, natuurlijk.
Wat me in de handleiding die jij vond opviel is dat wordt aangeraden om bij twijfel (over het onthouden van een gewijzigd wachtwoord) het standaardwachtwoord niet te veranderen. Mensen die niet doorhebben dat dat nodig worden niet wijzer van een leverancier die het ook niet doorheeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
