Sicherheitsforscher des Antivirus-Herstellers Avast haben eine Schwachstelle in weit verbreiteten GPS-Trackern entdeckt. Diese werden gerne von Eltern verwendet, um den Standort ihrer Kinder zu ermitteln. Aber auch Dritte können diese Daten auslesen.
Anzeige
Blog-Leser Leon hat mich per Mail auf das Thema hingewiesen (danke), aber auch Medien haben das Problem, z.B. hier aufgegriffen. Avast hat das Ganze in diesem Blog-Beitrag öffentlich gemacht. Es betrifft Peilsender mit GPS-Funktion, die den Aufenthaltsort von Personen erfassen und dann an einen Server des Anbieters melden. Eltern kaufen so etwas gerne, um über den Standort ihrer Kinder informiert zu sein. Die Standorte der Träger dieser GPS-Tracker lassen sich dann per Android- und iOS-App aus der Cloud abrufen. Soweit so gut, aber leider ist es um die Sicherheit schlecht bestellt.
Es betrifft 29 Modelle auch China
Sicherheitsforscher von Avast haben schwerwiegende Schwachstellen bei rund 600.000 GPS-Trackern für Kinder Trackern entdeckt, die auf Amazon.com und anderen großen Online-Plattformen zum Kauf angeboten werden. Die Geräte werden von Eltern gerne zur Überwachung des Aufenthaltsorts ihrer Kinder verwendet.
Die GPS-Tracker stellen die gesammelten Echtzeitdaten mit den Positionsdaten der Kinder stellen in die Cloud auf diese chinesische Plattform ein. Bei neunundzwanzig Modellen der GPS-Tracker, die das chinesische Unternehmen Shenzhen i365 Tech hergestellt und unter verschiedenen Markennamen vertreibt, gibt es gravierende Schwachstellen.
Die Forscher der Avast Threat Labs analysierten zunächst den T8 Mini Child Tracker und stellten fest, dass die zugehörige mobile App Daten von einer ungesicherten Website herunterlädt, wodurch die Informationen der Benutzer preisgegeben werden. Weitere Sicherheitsfragen betrafen die Informationen zum Benutzerkonto, die mit einer zugewiesenen ID-Nummer und dem Standardpasswort 123456 geliefert werden. Die Gerätekennungen lassen sich wohl erraten.
Designfehler in den Trackern können es Dritten auch ermöglichen, den Standort des Benutzers zu "fälschen" oder auf das Mikrofon zuzugreifen, um den Träger des GPS-Trackers zu belauschen. Der Tracker wird so zur Wanze. In einem Versuch ist es den Forschern gelungen, eine bestimmte Telefonnummer anzurufen, um den Träger zu belauschen.
(Quelle: YouTube)
Obiges Video zeigt ein Interview mit den Sicherheitsforschern und der Sicherheitsforscherin Leena Elias zu diesem Thema.
Empfehlung: Kauft bei vertrauenswürdigen Herstellern
Martin Hron, Senior Researcher bei Avast, der diese Studie geleitet hat, rät den Verbrauchern, sich für ein alternatives Produkt einer vertrauenswürdigeren Marke zu entscheiden, die Sicherheit in das Produktdesign integriert hat. Wie bei jedem handelsüblichen "intelligenten" Gerät empfiehlt Avast, die standardmäßigen Admin-Passwörter durch etwas komplexeres zu ersetzen. Aber auch das würde in diesem Fall einen motivierten Hacker nicht davon abhalten, den unverschlüsselten Datenverkehr abzufangen.
Anzeige
"Wir haben unsere Sorgfaltspflicht bei der Offenlegung dieser Schwachstellen gegenüber dem Hersteller erfüllt, aber da wir nach Ablauf der üblichen Frist keine Rückmeldung erhalten haben, geben wir nun diese Bekanntmachung des öffentlichen Dienstes an die Verbraucher heraus und raten Ihnen dringend, die Verwendung dieser Geräte einzustellen", sagte Hron. Die Forscher glauben, dass dieses Sicherheitsprobleme weit über den Rahmen des oben genannten Anbieters hinausgeht. Fünfzig mobile Apps, die im Google Play Store oder als iOS App in Apples Store verfügbar sind, verwenden die gleiche unverschlüsselte Plattform zur Speicherung und zum Abrufen der Daten.
2015
