Kelemahan di Lebih dari Setengah Juta Pelacak GPS Mengungkap Data Lokasi Anak

Bagaimana jika teknologinya dimaksudkan untuk memastikan bahwa anak-anak Anda, warga negara senior, dan hewan peliharaan aman bahkan ketika mereka tidak terlihat secara tidak sengaja mengekspos mereka ke penguntit?

Diperkirakan 600.000 alat pelacak GPS dijual Amazon dan pedagang online besar lainnya seharga $ 25 – $ 50 telah ditemukan rentan terhadap beberapa kerentanan berbahaya yang mungkin telah mengekspos lokasi real-time pengguna, klaim para peneliti keamanan.

Peneliti cybersecurity dari Avast menemukan bahwa 29 model pelacak GPS dibuat oleh perusahaan teknologi Cina Shenzhen i365 untuk mengawasi anak-anak, kerabat lanjut usia, dan hewan peliharaan mengandung sejumlah kerentanan keamanan.

Selain itu, lebih dari setengah juta perangkat pelacakan dikirimkan dengan kata sandi default yang sama yaitu "123456," meninggalkan peluang bagi penyerang untuk dengan mudah mengakses informasi pelacakan bagi mereka yang tidak pernah mengubah kata sandi default.

Kerentanan dalam Perangkat Pelacakan GPS

Kerentanan alat pelacak GPS yang dilaporkan dapat memungkinkan penyerang jarak jauh hanya dengan koneksi Internet ke:

• melacak koordinat GPS waktu-nyata dari pemakai perangkat,
• memalsukan data lokasi perangkat untuk memberikan pembacaan yang tidak akurat, dan
• mengakses mikrofon perangkat untuk menguping.

Sebagian besar kerentanan yang ditemukan bergantung pada fakta bahwa komunikasi antara 'Pelacak GPS dan Cloud,' 'Cloud dan Aplikasi seluler pendamping perangkat', dan 'Pengguna dan aplikasi berbasis web perangkat' – semuanya menggunakan protokol HTTP teks biasa yang tidak dienkripsi. , memungkinkan penyerang MiTM untuk mencegat data yang dipertukarkan dan mengeluarkan perintah yang tidak sah.

"Semua komunikasi dalam aplikasi web menggunakan HTTP. Semua permintaan JSON sekali lagi tidak terenkripsi dan dalam teks biasa," peneliti menjelaskan dalam laporan terperinci.

"Anda dapat membuat pelacak memanggil nomor telepon yang sewenang-wenang dan setelah terhubung, Anda dapat mendengarkan pelacak pihak lain tanpa sepengetahuan mereka. Komunikasi adalah protokol berbasis teks, dan yang paling memprihatinkan adalah kurangnya otorisasi. Semuanya bekerja hanya dengan mengidentifikasi pelacak dengan IMEI-nya. "

Memata-matai Lokasi GPS Real-Time Dengan SMS

Selain itu, peneliti juga menemukan bahwa penyerang jarak jauh juga dapat memperoleh koordinat GPS real-time dari perangkat target hanya dengan mengirim SMS ke nomor telepon yang terkait dengan kartu SIM (dimasukkan ke perangkat) yang menyediakan kemampuan DATA + SMS ke perangkat .
Meskipun penyerang pertama-tama perlu mengetahui nomor telepon dan kata sandi pelacak yang terkait untuk melakukan serangan ini, para peneliti mengatakan seseorang dapat memanfaatkan kelemahan cloud / aplikasi seluler terkait untuk memerintahkan pelacak mengirim SMS ke nomor telepon sewenang-wenang atas nama itu sendiri, memungkinkan penyerang untuk mendapatkan nomor telepon perangkat.

Sekarang, dengan akses ke nomor telepon perangkat dan kata sandi menjadi '123456' untuk hampir semua perangkat, penyerang dapat menggunakan SMS sebagai vektor serangan.

Analisis T8 Mini GPS Tracker Locator oleh para peneliti juga menemukan bahwa para penggunanya diarahkan ke situs web yang tidak aman untuk mengunduh aplikasi seluler pendamping perangkat tersebut, memaparkan informasi pengguna.

Lebih dari Setengah Juta Orang Menggunakan Pelacak GPS yang Terkena Dampak

Model pelacak GPS yang terpengaruh meliputi T58, A9, T8S, T28, TQ, A16, A6, 3G, A18, A21, T28A, A12, A19, A20, A20S, S1, P1, FA23, A107, RomboGPS, PM01, A21P , PM02, A16X, PM03, WA3, P1-S, S6, dan S9.

Meskipun pabrikan pelacak GPS ini, Shenzhen i365, berbasis di Cina, analisis Avast menemukan bahwa pelacak GPS ini banyak digunakan di Amerika Serikat, Eropa, Australia, Amerika Selatan, dan Afrika.

Para peneliti mengatakan secara pribadi memberi tahu vendor tentang kerentanan keamanan kritis pada 24 Juni dan mencapai perusahaan beberapa kali, tetapi tidak pernah mendapat jawaban.

Martin Hron, peneliti senior di Avast, mengatakan:

"Kami telah melakukan uji tuntas kami dalam mengungkapkan kerentanan ini kepada pabrikan, tetapi karena kami belum mendengar kabar setelah waktu standar, kami sekarang mengeluarkan pengumuman layanan publik ini kepada konsumen dan sangat menyarankan Anda untuk menghentikan penggunaan perangkat ini. "

Para peneliti juga menyarankan orang untuk melakukan bagian dari penelitian mereka dan memilih perangkat yang aman dari vendor yang disegani, daripada mencari peralatan murah dari perusahaan yang tidak dikenal di internet. Amazon, eBay, atau pasar online lainnya.