İnternette İstediğiniz Gibi Çevrimiçi Para Kazanma!

Yarım Milyondan Fazla GPS İzleyicisindeki Hatalar Çocukların Konum Verilerini Açığa Vuruyor

Şu an okuyorsunuz: Yarım Milyondan Fazla GPS İzleyicisindeki Hatalar Çocukların Konum Verilerini Açığa Vuruyor

Teknoloji, çocuklarınızın, yaşlı vatandaşlarınızın ve evcil hayvanlarınızın gözle görülmediklerinde yanlışlıkla avcılara maruz kaldıklarında bile güvende olmalarını sağlamayı amaçladıysa?

Satılık tahmini bir 600.000 GPS izleme cihazı Amazon ve güvenlik araştırmacılarının iddia ettiği gibi, 25 ila 50 dolar arasındaki diğer büyük çevrimiçi tüccarlar, kullanıcının gerçek zamanlı konumlarını açığa çıkaran bir avuç tehlikeli güvenlik açığına karşı savunmasız bulundu.

Avast’tan siber güvenlik araştırmacıları, Çinli teknoloji şirketi tarafından yapılan 29 GPS takip cihazı modelinin bulunduğunu keşfetti Shenzhen i365 Küçük çocuklar, yaşlı akrabalar ve evcil hayvanlara ilişkin sekmeleri tutmak için bazı güvenlik açıkları bulunmaktadır.

Dahası, yarım milyondan fazla takip cihazının tümü aynı “123456” şifresiyle gönderildi, saldırganlara varsayılan şifreyi hiç değiştirmemiş olanlar için izleme bilgilerine kolayca erişme fırsatı verdi.

GPS İzleme Cihazlarındaki Güvenlik Açıkları

çocuklar için gps izleme cihazıBildirilen GPS izleme cihazı güvenlik açıkları, yalnızca İnternet bağlantısı olan uzaktan saldırganların şunları yapmasına olanak sağlayabilir:

  • cihazın kullanıcısına ait gerçek zamanlı GPS koordinatlarını izlemek,
  • yanlış bir okuma yapmak için cihazın konum verilerini tahrif etmek, ve
  • gizlice dinlemek için cihazların mikrofonuna erişin.

Keşfedilen güvenlik açıklarının çoğu, ‘GPS izleyicileri ve Bulut’, ‘Bulut ve cihazın eşlik eden mobil Uygulamaları’ ile ‘Kullanıcılar ve cihazın web tabanlı uygulaması’ arasındaki iletişimin tümü şifrelenmemiş düz metin HTTP protokolü kullanmasına dayanıyor MiTM saldırganlarının değiş tokuş edilen verileri durdurmalarına ve yetkisiz komutlar vermelerine izin verilmesi.

Araştırmacılar “Web uygulamasındaki tüm iletişimler HTTP üzerinden gerçekleşiyor. Bütün JSON talepleri tekrar şifrelenmemiş ve düz metin halinde” araştırmacılar ayrıntılı bir raporda açıklıyor.

“İzleyiciyi isteğe bağlı bir telefon numarası arayabilir ve bağladıktan sonra izleyiciyi diğer tarafa bilgileri olmadan dinleyebilirsiniz. İletişim metin tabanlı bir protokoldür ve en çok ilgilendiren şey yetkilendirme eksikliğidir. sadece izleyiciyi IMEI’sine göre tanımlayarak çalışır. “

SMS ile Gerçek Zamanlı GPS Konumunda Casusluk Yapma

Bunun yanı sıra, araştırmacılar aynı zamanda uzaktan saldırganların, cihaza DATA + SMS yetenekleri sağlayan SIM kartla (telefona takılı) SIM kartla ilişkili telefon numarasına SMS göndererek bir hedef cihazın gerçek zamanlı GPS koordinatlarını da elde edebildiklerini bulmuşlardır. .
çocuklar için gps izleme cihazı hackSaldırganların ilk önce bu saldırının gerçekleştirilmesi için izleyicinin ilişkili telefon numarasını ve şifresini bilmeleri gerekmesine rağmen, araştırmacılar izleyicinin kendi adına keyfi bir telefon numarasına SMS göndermesini sağlamak için bulut / mobil uygulama ile ilgili kusurlardan yararlanabileceğini söyledi. cihazın telefon numarasını almak için bir saldırgan

Şimdi, neredeyse tüm cihazlar için cihazın telefon numarasına ve şifresine erişimin ‘123456’ olması nedeniyle, saldırgan SMS’i saldırı vektörü olarak kullanabilir.

Araştırmacılar tarafından T8 Mini GPS İzleyici Bulucu’nun analizi, kullanıcıların cihaz bilgilerini mobil uygulamasını indirmek için güvenli olmayan bir web sitesine yönlendirildiğini ve kullanıcıların bilgilerini açığa çıkardıklarını tespit etti.

Etkilenen GPS İzleyicileri Kullanan Yarım Milyondan Fazla Kişi

Etkilenen GPS izci modelleri arasında T58, A9, T8S, T28, TQ, A16, A6, 3G, A18, A21, T28A, A12, A19, A20, A20S, S1, P1, FA23, A107, Rom20G, PM01, A21P bulunur. , PM02, A16X, PM03, WA3, P1-S, S6 ve S9.

Bu GPS izleyicilerin üreticisi, Shenzhen i365, Çin merkezli olmasına rağmen, Avast’ın analizi, bu GPS izleyicilerin Amerika Birleşik Devletleri, Avrupa, Avustralya, Güney Amerika ve Afrika’da yaygın olarak kullanıldığını tespit etti.

Araştırmacılar, 24 Haziran’daki kritik güvenlik açıklarını satıcıya özel olarak bildirdiklerini ve şirkete defalarca ulaştığını, ancak hiçbir zaman yanıt alamadıklarını söyledi.

Avast’ta kıdemli araştırmacı Martin Hron şöyle dedi:

“Bu güvenlik açıklarını üreticiye açıklamada gerekli özeni göstermiştik, ancak standart zaman penceresinden sonra tekrar duymadığımızdan, şu anda bu kamu hizmeti duyurusunu tüketicilere veriyoruz ve bu aygıtları kullanmayı bırakmanızı şiddetle tavsiye ediyoruz. “

Araştırmacılar ayrıca insanlara araştırmalarının bir bölümünü yapmalarını ve bilinmeyen bir şirketin ucuz ekipmanlarını kullanmak yerine saygın bir satıcıdan güvenli bir cihaz seçmelerini tavsiye etti. Amazon, eBay veya diğer çevrimiçi pazarlar.