image

600.000 gps-trackers online toegankelijk via wachtwoord '123456'

vrijdag 6 september 2019, 09:57 door Redactie, 7 reacties

Op internet zijn 600.000 goedkope gps-trackers van verschillende leveranciers gevonden die via het standaardwachtwoord '123456' toegankelijk zijn waardoor kwaadwillenden gebruikers kunnen bespioneren, zo laat antivirusbedrijf Avast op basis van eigen onderzoek weten. De gps-trackers kunnen worden gebruikt om de locatie van kinderen, ouderen, huisdieren en zelfs auto's te bepalen.

Voor het onderzoek keken de onderzoekers naar een gps-tracker die op Amazon onder de naam T8 Mini GPS Tracker wordt aangeboden. Later blijkt dat de gebruikte hardware van één fabrikant afkomstig is en dat meerdere leveranciers het product onder verschillende namen aanbieden. De gps-tracker beschikt onder andere over een speaker en microfoon. De locatie van de tracker is te vinden via een mobiele app en website. Inloggen op de website, die via het onversleutelde http wordt aangeboden, kan via het tracker-ID en het standaardwachtwoord '123456'.

De onderzoekers ontdekten dat het tracker-ID van andere gps-trackers eenvoudig te enumereren is. Aangezien al deze trackers standaard het wachtwoord '123456' gebruiken is het zo kinderspel voor kwaadwillenden om op de website in te loggen en de locatie van de drager te zien. Niet alleen is het mogelijk om de locatie te achterhalen, een aanvaller kan de tracker ook een willekeurig telefoonnummer laten bellen of sms-bericht versturen. Op deze manier is het telefoonnummer van de tracker te achterhalen. Vervolgens is het mogelijk om de gps-tracker via sms allerlei instructies te geven.

Om een indruk van het aantal kwetsbare gps-trackers te krijgen besloten de onderzoekers vier miljoen willekeurige serienummers te scannen. Dit leverde 600.000 gps-trackers met het standaardwachtwoord '123456' op. Een aanvaller zou al deze trackers een nummer kunnen laten bellen om zo de drager van de gps-tracker af te luisteren, zonder dat die dit doorheeft. Ook is het mogelijk om de locatie te spoofen, waardoor het lijkt alsof de drager ergens anders is dan in de mobiele applicatie of website wordt aangegeven.

In totaal ging het om 29 verschillende modellen die onder verschillende namen worden aangeboden. De onderzoekers vermoeden dat de infrastructuur van de gps-trackers en de apparaten zelf als white label worden aangeboden en onder verschillende merknamen worden verkocht. Daarnaast werden zo'n vijftig verschillende mobiele applicaties gevonden die hetzelfde cloudplatform delen. Avast waarschuwde de aanbieder van de gps-trackers, maar kreeg geen reactie. Daarop besloot het bedrijf de bevindingen openbaar te maken.

Image

Reacties (7)
06-09-2019, 10:10 door Anoniem
OK, leuk verhaal, maar..
Is het wachtwoord door de gebruiker wel of niet in te stellen? Dat wordt hier niet gemeld.
Zo niet dan is het ene fout van de leverancier, maar zo wel, dan heeft dit nix met de leverancier te maken, maar met de domme gebruiker.

http vs httpS is een ander verhaal, voor https heeft het device een certificaat nodig, dat is lastig voor gebruikers in te stellen (aanvragen/kosten - geen certbot). Je zou natuurlijk https kunnen doen met een vaste uitzondering, toch nog een beetje versleuteld.
06-09-2019, 10:58 door Anoniem
Door Anoniem:
http vs httpS is een ander verhaal, voor https heeft het device een certificaat nodig, dat is lastig voor gebruikers in te stellen (aanvragen/kosten - geen certbot). Je zou natuurlijk https kunnen doen met een vaste uitzondering, toch nog een beetje versleuteld.
Het ging erom dat de website waar alle data verzameld is en toegankelijk wordt gemaakt voor de gebruikers geen HTTPS ondersteunt.
06-09-2019, 11:51 door Anoniem
Door Anoniem:
Door Anoniem:
http vs httpS is een ander verhaal, voor https heeft het device een certificaat nodig, dat is lastig voor gebruikers in te stellen (aanvragen/kosten - geen certbot). Je zou natuurlijk https kunnen doen met een vaste uitzondering, toch nog een beetje versleuteld.
Het ging erom dat de website waar alle data verzameld is en toegankelijk wordt gemaakt voor de gebruikers geen HTTPS ondersteunt.
Ach ja, dan weet je, dat ALLEEN de verbinding " veilig " is, maar de website kan nog steeds bagger zijn. Oh, oh wat een winst
06-09-2019, 15:45 door Anoniem
dus ik kan daarmee vanuit heel de wereld GPS-trackers een nummer laten bellen?
leuk voor een telefonische/SMS DDoS, of ik laat ze allemaal mijn dure 06-nummer bellen.
06-09-2019, 17:00 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
http vs httpS is een ander verhaal, voor https heeft het device een certificaat nodig, dat is lastig voor gebruikers in te stellen (aanvragen/kosten - geen certbot). Je zou natuurlijk https kunnen doen met een vaste uitzondering, toch nog een beetje versleuteld.
Het ging erom dat de website waar alle data verzameld is en toegankelijk wordt gemaakt voor de gebruikers geen HTTPS ondersteunt.
Ach ja, dan weet je, dat ALLEEN de verbinding " veilig " is, maar de website kan nog steeds bagger zijn. Oh, oh wat een winst
Het probleem met http is hier vooral dat nieuw ingevoerde wachtwoorden zijn af te luisteren door derden.
Ook voor de rest een chinese gatenkaas. (meerdere security/privacy problemen)
06-09-2019, 18:11 door SPer
Door Anoniem: OK, leuk verhaal, maar..
Is het wachtwoord door de gebruiker wel of niet in te stellen? Dat wordt hier niet gemeld.
Zo niet dan is het ene fout van de leverancier, maar zo wel, dan heeft dit nix met de leverancier te maken, maar met de domme gebruiker.

http vs httpS is een ander verhaal, voor https heeft het device een certificaat nodig, dat is lastig voor gebruikers in te stellen (aanvragen/kosten - geen certbot). Je zou natuurlijk https kunnen doen met een vaste uitzondering, toch nog een beetje versleuteld.
het antwoord op de vraag over het wijzigen van het PW is makkelijk te vinden :
https://static.webshopapp.com/shops/072547/files/037044716/handleiding-mini-gps-tracker-vindmijterug.pdf (dit is waarschijnlijk de goede daar hier ook het pw 123456 wordt genoemd)
07-09-2019, 07:34 door Anoniem
Door Anoniem: OK, leuk verhaal, maar..
Is het wachtwoord door de gebruiker wel of niet in te stellen? Dat wordt hier niet gemeld.
Zo niet dan is het ene fout van de leverancier, maar zo wel, dan heeft dit nix met de leverancier te maken, maar met de domme gebruiker.
Beetje makkelijk om de verantwoordelijkheid altijd bij de "domme" gebruiker te leggen. Het gaat beter als één leverancier een oplossing bedenkt en implementeert die het probleem verhelpt dan wanneer 600.000 afzonderlijke gebruikers allemaal op het idee moeten komen om iets goed te doen. En aangezien die leverancier (degene die uiteindelijk het ding ontwerpt, niet de tussen-leveranciers die het doorverkopen met een eigen logo erop gedrukt) als geen ander weet hoe dit ding werkt is die in veel betere positie dan de "domme" gebruiker om iets goeds te bedenken. Hier is eerder sprake van een "domme" leverancier omdat hij niet snapt dat het beter werkt als hij het goed regelt, misschien omdat hij net als jij eigenlijk vindt dat gebruikers "slimmer" zouden moeten zijn.

Bedenk dat mensen zeer uiteenlopende talenten hebben. Er zijn briljante techneuten die geen zin goed Nederlands weten te schrijven en mensen die vijf talen vloeiend spreken die geen enkele affiniteit met techniek hebben. Ergens niet goed in zijn is iets volkomen anders dan dom zijn.

Niet dat werkelijk domme mensen niet bestaan, maar ook dan los je niets op door te vinden dat het hun fout is. Domme mensen kunnen er niets aan doen dat ze dom zijn, dom of intelligent zijn is niet iets wat je doet maar iets wat je bent. Iemand met een IQ van 70 gaat het zelfs met de grootst mogelijke moeite echt niet lukken dat op te krikken naar 100 of 130, dat zit er gewoon niet in.

Door SPer: het antwoord op de vraag over het wijzigen van het PW is makkelijk te vinden :
https://static.webshopapp.com/shops/072547/files/037044716/handleiding-mini-gps-tracker-vindmijterug.pdf (dit is waarschijnlijk de goede daar hier ook het pw 123456 wordt genoemd)
Het zal eerder deze zijn:
https://007spygear.com/products/Waterproof-Mini-GPS-Tracker-T8.html
https://www.tmart.com/T8-Mini-GPS-Tracker-Locator-Personal-Google-Map-SOS-GSM-GPRS-Tracker-for-Kids_p358434.html
Die is te koop op diverse websites voor nogal uiteenlopende prijzen ($99 en $31,86 op de genoemde websites, en $99 is nog niet eens de duurste die ik tegenkwam). Ik heb geen online handleiding gevonden maar de specificaties geven aan dat er een smartphone-app bij hoort en er niet via SMS maar via GPRS gecommuniceerd wordt. Het kan heel goed van dezelfde fabrikant zijn, natuurlijk.

Wat me in de handleiding die jij vond opviel is dat wordt aangeraden om bij twijfel (over het onthouden van een gewijzigd wachtwoord) het standaardwachtwoord niet te veranderen. Mensen die niet doorhebben dat dat nodig worden niet wijzer van een leverancier die het ook niet doorheeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.