A Avast descobriu sérias vulnerabilidades de segurança no rastreador T8 Mini GPS e em quase 30 outros modelos da mesmo fabricante, a chinesa Shenzhen i365 Tech. Comercializados para acompanhar a localização de crianças, idosos e até animais de estimação, esses dispositivos expõem todos os dados enviados para a nuvem, incluindo as coordenadas exatas do GPS, em tempo real.

Além disso, falhas do projeto podem permitir que terceiros indesejados falsifiquem a geolocalização do gadget ou ativem o seu microfone para espionar os consumidores. Os pesquisadores do Laboratório de Ameaças da Avast estimam que existam 600 mil rastreadores sem proteção em uso no mundo todo, mas enfatizam que esses problemas de segurança de IoT vão muito além do escopo de um único fornecedor.

Para encontrar as brechas, os especialistas analisaram o processo de onboarding do T8 Mini, seguindo as instruções para fazer o download do aplicativo para celulares em http://en.i365gps.com. Os usuários podem fazer o login na conta com um número de identificação e uma senha padrão genérica de “123456”. Para piorar a situação, essas informações foram transmitidas por protocolo HTTP inseguro.

Um T8 Mini GPS, rastreador analisado pela Avast (Reprodução: Alibaba)

O número de identificação do dispositivo é derivado do IMEI (International Mobile Equipment Identity), portanto, foi fácil para os pesquisadores prever e enumerar possíveis números de identificação de outros rastreadores por este fabricante. Combinado com a senha fixa, praticamente qualquer dispositivo seguindo essa sequência de números IMEI poderia ser invadido com pouco esforço.

Martin Hron, pesquisador responsável pela pesquisa, aconselha os consumidores a escolher opções de marcas que incorporam segurança ao projeto do produto, especificamente login seguro e uma forte criptografia de dados. Como em qualquer dispositivo de prateleira, recomenda-se alterar a senha padrão do administrador para uma mais complexa — neste caso, no entanto, mesmo isso não impedirá que um indivíduo motivado intercepte o tráfego não criptografado.

“Tomamos as devidas providências na divulgação dessas vulnerabilidades para o fabricante, mas, como não recebemos resposta após o período de tempo padrão, agora estamos emitindo este anúncio de serviço público aos consumidores e aconselhamos fortemente que os usuários interrompam o uso desses dispositivos”, diz Hron.

Fonte: Avast