Op internet zijn 600.000 goedkope gps-trackers van verschillende leveranciers gevonden die via het standaardwachtwoord '123456' toegankelijk zijn waardoor kwaadwillenden gebruikers kunnen bespioneren, zo laat antivirusbedrijf Avast op basis van eigen onderzoek weten. De gps-trackers kunnen worden gebruikt om de locatie van kinderen, ouderen, huisdieren en zelfs auto's te bepalen.
Voor het onderzoek keken de onderzoekers naar een gps-tracker die op Amazon onder de naam T8 Mini GPS Tracker wordt aangeboden. Later blijkt dat de gebruikte hardware van één fabrikant afkomstig is en dat meerdere leveranciers het product onder verschillende namen aanbieden. De gps-tracker beschikt onder andere over een speaker en microfoon. De locatie van de tracker is te vinden via een mobiele app en website. Inloggen op de website, die via het onversleutelde http wordt aangeboden, kan via het tracker-ID en het standaardwachtwoord '123456'.
De onderzoekers ontdekten dat het tracker-ID van andere gps-trackers eenvoudig te enumereren is. Aangezien al deze trackers standaard het wachtwoord '123456' gebruiken is het zo kinderspel voor kwaadwillenden om op de website in te loggen en de locatie van de drager te zien. Niet alleen is het mogelijk om de locatie te achterhalen, een aanvaller kan de tracker ook een willekeurig telefoonnummer laten bellen of sms-bericht versturen. Op deze manier is het telefoonnummer van de tracker te achterhalen. Vervolgens is het mogelijk om de gps-tracker via sms allerlei instructies te geven.
Om een indruk van het aantal kwetsbare gps-trackers te krijgen besloten de onderzoekers vier miljoen willekeurige serienummers te scannen. Dit leverde 600.000 gps-trackers met het standaardwachtwoord '123456' op. Een aanvaller zou al deze trackers een nummer kunnen laten bellen om zo de drager van de gps-tracker af te luisteren, zonder dat die dit doorheeft. Ook is het mogelijk om de locatie te spoofen, waardoor het lijkt alsof de drager ergens anders is dan in de mobiele applicatie of website wordt aangegeven.
In totaal ging het om 29 verschillende modellen die onder verschillende namen worden aangeboden. De onderzoekers vermoeden dat de infrastructuur van de gps-trackers en de apparaten zelf als white label worden aangeboden en onder verschillende merknamen worden verkocht. Daarnaast werden zo'n vijftig verschillende mobiele applicaties gevonden die hetzelfde cloudplatform delen. Avast waarschuwde de aanbieder van de gps-trackers, maar kreeg geen reactie. Daarop besloot het bedrijf de bevindingen openbaar te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.