Les experts d’Avast ont découvert que plus de 600 000 suiveurs GPS utilisés pour surveiller la localisation des enfants, des personnes âgées, des animaux domestiques, des voitures, etc., utilisaient le mot de passe «123456».
En utilisant le mot de passe par défaut pour pirater les comptes d’utilisateurs, les attaquants peuvent écouter les conversations à côté du traqueur GPS, simuler l’emplacement réel de l’appareil et également connaître le numéro de la carte SIM connectée au traqueur.
Tout a commencé par la détection de problèmes sur les suivis T8 Mini de la société chinoise IoT, Shenzhen i365-Tech. Toutefois, les experts ont vite découvert que le mot de passe «123456» était également utilisé pour 30 autres modèles de traceurs GPS produits par la même société, dont certains étaient vendus en marque blanche et présentés sur le marché sous les marques d’autres sociétés.
Tous les trackers problématiques ont la même infrastructure, qui consiste en un serveur cloud auquel le tracker «rapporte» un panneau Web (que les clients utilisent via des navigateurs pour vérifier l’emplacement du périphérique), ainsi qu’une application mobile similaire qui se connecte également au même serveur cloud.
Bien que les experts Avast aient immédiatement identifié un certain nombre de problèmes dans l’infrastructure décrite, le plus important d’entre eux est le fait que tous les comptes d’utilisateurs (à la fois dans l’application mobile et sur le panneau Web) utilisent un ID utilisateur et un mot de passe, faciles à détecter. Ainsi, l’ID utilisateur est basé sur l’IMEI du traqueur et est séquentiel, et le mot de passe, comme mentionné ci-dessus, est par défaut le même pour tous les périphériques – il s’agit de «123456».
En fait, cela signifie que les attaquants peuvent lancer une attaque automatisée sur le serveur cloud Shenzhen i365-Tech, en triant tous les ID utilisateur un par un et en utilisant le même mot de passe pour pirater les comptes utilisateur.
Heureusement, il n’est pas interdit aux utilisateurs de modifier le mot de passe des tracks GPS, mais les analystes d’Avast ont numérisé plus de 4 000 000 identifiants et ont découvert que plus de 600 000 comptes utilisaient toujours le mot de passe par défaut. Le nombre réel de trackers GPS avec des mots de passe par défaut sera probablement beaucoup plus élevé.
De plus, le problème est aggravé par le fait que de tels appareils sont équipés de microphones intégrés et de cartes SIM permettant aux enfants et aux personnes âgées de passer des appels SOS et de communiquer avec les membres de leur famille. Les chercheurs ont découvert que compromettre le suivi permettait en fait aux attaquants d’appeler leurs numéros, de répondre à ces appels, puis d’espionner le propriétaire et de les localiser.
Les vulnérabilités trouvées menacent également l’entreprise de fabrication elle-même. Le fait est que des comptes vulnérables sont créés dans le cloud immédiatement après la fabrication des trackers GPS. Théoriquement, un concurrent pourrait prendre le contrôle de ces comptes avant même la vente des appareils et modifier les mots de passe, bloquant ainsi les comptes et créant des problèmes pour Shenzhen i365-Tech et les revendeurs.
Tous les problèmes décrits par les experts sont toujours d’actualité, car les représentants de Shenzhen i365-Tech n’ont pas répondu aux nombreuses demandes des chercheurs. Les analystes Avast recommandent vivement aux utilisateurs de trackers vulnérables de changer immédiatement leurs mots de passe. Une liste complète des périphériques vulnérables est fournie à la fin du rapport d’expert.