Een beveiligingslek in een gps-alarmsysteem voor ouderen maakte het mogelijk om alle dragers af te luisteren, ze te volgen en hun locatiegegevens te manipuleren om zo bijvoorbeeld verzorgers of kinderen te misleiden. Het gaat om de sos-tracker van fabrikant Eview.

Het is een "personal mobile alarm system" dat 4G, gps, bluetooth en wifi ondersteunt. Het is voorzien van een microfoon zodat de drager en bijvoorbeeld verzorger met elkaar kunnen communiceren. Beheer van de gps-tracker vindt plaats via een smartphone-app of webapplicatie. Via deze app is het onder andere mogelijk om de locatie van de drager te zien.

Onderzoeker Vangelis Stykas van securitybedrijf Pen Test Partners ontdekte dat het mogelijk was om verzoeken in naam van een gebruiker uit te voeren, zonder dat de server controleerde of het verzoek wel echt van deze gebruiker afkomstig was. Zo was het bijvoorbeeld mogelijk om gebruikers aan een ander account toe te voegen. Een aanvaller had zo alle functies van alle dragers kunnen bedienen of benaderen. Eview bleek namelijk voor het gebruikers-id van een oplopend nummer gebruik te maken, zodat het mogelijk was om alle gebruikers te enumereren.

Drie jaar geleden werden er ook al kwetsbaarheden in een persoonlijke gps-tracker van Eview ontdekt. Destijds reageerde het bedrijf niet op meldingen van de onderzoekers die de problemen hadden gevonden. Inmiddels is dat veranderd. Nadat Stykas het bedrijf waarschuwde kreeg hij na veertien minuten een antwoord en was de kwetsbaarheid in de programmeerinterface (API) binnen een week verholpen.