Avast Memperingatkan Tentang Kelemahan Privasi di Perangkat Pelacakan Anak

• Peneliti Avast menemukan banyak kerentanan yang menjadi momok pelacak GPS buatan China.
• Para peneliti dapat mengirim perintah ke perangkat jarak jauh setelah mendapatkan instruksi IMEI dan API mereka.
• Ini bukan pertama kalinya kami melihat pelacak Cina tidak aman yang dapat berfungsi sebagai alat penyadap.

Peneliti dari Avast Threat Labs telah ditemukan beberapa kerentanan keamanan parah yang mengganggu 29 model perangkat pelacakan anak yang dibuat oleh Shenzhen i365 Tech. Pabrikan Cina tertentu adalah salah satu yang paling sukses dan populer di bidangnya, dan mereka tidak membatasi diri ke pasar nasional lokal. Sebaliknya, produk mereka banyak tersedia di seluruh dunia dan dijual melalui pasar besar seperti Amazon.com.

Seperti yang diklaim para peneliti, pelacak pertama yang mereka analisis adalah "T8 Mini", yang datang dengan aplikasi seluler pendamping yang diunduh dari situs web yang tidak aman. Ini pada dasarnya memaparkan informasi sensitif dari pengguna yang mendaftar untuk akun baru di sana. Pengguna diberikan nomor ID dan kata sandi default "123456", yang merupakan praktik lucu hari ini. Selain itu, cacat desain pada pelacak memungkinkan penyerang untuk menipu atau memalsukan koordinat GPS pengguna, atau mengakses mikrofon untuk tujuan menguping.

Sumber: https://decoded.avast.io

Para peneliti menemukan bahwa ada berbagai titik akhir API yang digunakan oleh banyak vendor, mencari tahu berbagai perintah "Dapatkan" yang dapat mereka sampaikan ke perangkat target. Spoofing lokasi dilakukan melalui "GetDeviceLocation", sedangkan untuk liontin yang menampilkan kamera bahkan ada "GetDevicePhoto". Dengan memindai 1 juta IMEI pelacak yang rentan, tim telah menemukan bahwa 231r di antaranya masih menggunakan kata sandi "123456" default, dan 167r dapat ditemukan. Ada 29 model berbeda yang dibuat oleh Shenzen tetapi mungkin membawa label dengan berbagai merek lain.

Sumber: https://decoded.avast.io

Peneliti Avast memberi tahu produsen alat pelacak tentang kelemahan keamanan yang mereka temukan dalam produk mereka, tetapi setelah beberapa waktu mereka tidak mendapat kabar dari mereka. Dengan demikian, masalah diungkapkan kepada publik, sehingga orang tua mengambil pendekatan yang lebih bertanggung jawab ketika mereka keluar di pasar untuk pelacak anak. Lagi pula, orang menggunakan perangkat ini untuk keselamatan, tetapi kelemahan yang disebutkan di atas sebenarnya menimbulkan risiko baru bagi anak-anak mereka.

Ini adalah kisah yang sangat mirip dengan yang kita bahas pada bulan Mei, di mana liontin darurat pelacakan GPS lainnya dapat dilacak dan juga dapat berfungsi sebagai perangkat penyadap. Dalam hal itu juga, serangan akan didasarkan pada penggunaan PIN lemah default, IMEI mengambil melalui SMS, dan panggilan API tidak aman yang memberikan aktor jarak jauh kekuatan untuk mengakses sensor GPS, mikrofon, atau bahkan mengatur ulang perangkat untuk pengaturan standarnya.

Apakah Anda menggunakan pelacak GPS? Apakah Anda merasa nyaman dengan keamanannya? Beri tahu kami di komentar di bawah, atau di acara sosial kami, di Facebook dan Twitter.