600 000 traceurs GPS pour enfants et personnes âgées utilisent « 123456 » comme mot de passe

Et ont des failles qui mettent la sécurité des personnes en danger

600 000 traceurs GPS pour enfants et personnes âgées utilisent « 123456 » comme mot de passe,
et ont des failles qui mettent la sécurité des personnes en danger

Les traceurs GPS sont conçus pour vous apporter une plus grande tranquillité d'esprit en vous aidant à localiser vos enfants, vos animaux de compagnie et même votre voiture. Ils peuvent contribuer à assurer la sécurité des personnes âgées ou handicapées en leur fournissant un simple bouton SOS leur permettant de demander de l'aide immédiatement. De nombreux appareils sont commercialisés à ces fins sur des sites communs tels qu'Amazon et eBay et peuvent être achetés à un prix compris entre 25 et 50 USD, ce qui les rend plus attrayants d'un point de vue financier que d'utiliser un smartphone pour certaines des mêmes fonctionnalités.

Mais combien en savons-nous réellement sur ces appareils qui savent toujours où nous sommes et peuvent parfois même nous entendre (la majorité des appareils dont nous allons parler ici ont aussi des microphones). Il se trouve que certains traceurs GPS d'aujourd'hui, en particulier ceux situés dans le segment d'entrée de gamme, devraient provoquer des cauchemars plutôt que d'apporter la tranquillité d'esprit. Selon Avast, non seulement leur manque de sécurité est alarmant, mais en plus ces appareils risquent davantage de rendre vos proches plus vulnérables.

En fait, Avast a découvert de sérieuses failles de sécurité dans le T8 Mini GPS tracker et dans près de 30 autres modèles du même fabricant, Shenzhen i365 Tech. Commercialisés pour garantir la sécurité des enfants, des personnes âgées, des animaux domestiques et même des biens personnels, ces appareils dévoilent toutes les données envoyées dans le cloud, y compris les coordonnées GPS exactes en temps réel. De plus, des défauts de conception peuvent permettre à des tiers indésirables d’usurper la localisation ou d’accéder au microphone à des fins d’écoute illicite. Les chercheurs du Threat Labs d’Avast estiment à 600 000 le nombre de traceurs non protégés utilisés dans le monde, mais ils soulignent que ces problèmes de sécurité de l’IdO dépassent largement le cadre d’un seul fournisseur.


Martin Hron, Senior Researcher, chez Avast, qui est à l’origine de cette étude, conseille aux acheteurs de ces produits de choisir une solution alternative auprès d’une marque plus fiable qui a intégré la sécurité dès la conception du produit, en particulier une connexion sécurisée et un chiffrement renforcé des données. Comme pour tout appareil prêt à l’emploi, il est recommandé de modifier les mots de passe par défaut de l’administrateur et d’en choisir de plus complexes. Cependant, dans ce cas précis, cela n’empêchera pas une personne motivée d’intercepter le trafic non chiffré. « Nous avons fait preuve de toute la diligence voulue en communiquant ces vulnérabilités au fabricant, mais comme nous n’avons pas eu de réponse dans le délai habituel, nous publions ce message d’intérêt public à l’attention des consommateurs et vous recommandons fortement de cesser d’utiliser ces appareils », explique Martin Hron.

Le Threat Labs d’Avast a d’abord analysé la procédure de démarrage du T8 Mini, en suivant les instructions pour télécharger l’application mobile à partir du site i365gps en l’occurrence, un site Web desservi par le protocole HTTP plutôt que par celui du HTTPS, plus sécurisé. Les utilisateurs peuvent alors se connecter à leur compte avec le numéro d’identification qui leur a été attribué et le mot de passe par défaut très générique « 123456 ». Ces informations sont également transmises via un protocole HTTP non sécurisé.

Le numéro d’identification est dérivé de l’International Mobile Equipment Identity (IMEI) de l’appareil ; les chercheurs ont donc pu facilement prédire et répertorier les numéros d’identification possibles d’autres traceurs de ce fabricant. En combinaison avec le mot de passe fixe, pratiquement n’importe quel appareil suivant cette séquence de numéros IMEI pourrait être piraté sans le moindre effort.

À l’aide d’un simple outil de recherche de commandes, les chercheurs ont découvert que toutes les demandes provenant de l’application Web du traceur sont transmises en texte brut non chiffré. Il est encore plus inquiétant de constater que l’appareil peut envoyer des commandes qui vont au-delà de l’usage prévu de suivi GPS, telles que :

• appeler un numéro de téléphone, permettant ainsi à un tiers d’écouter les conversations à travers le microphone du traceur ;
• envoyer un SMS qui pourrait permettre au hackers d’identifier le numéro de téléphone de l’appareil et donc d’utiliser le SMS entrant comme vecteur d’attaque ;
• utiliser les SMS pour rediriger la communication de l'appareil vers un autre serveur afin d'obtenir le total contrôle de cet appareil ou de fausses informations envoyées vers le cloud ;
• partager une URL vers le traceur, permettant à un attaquant à distance de placer un nouveau firmware sur l’appareil sans même y toucher, qui pourrait remplacer complètement la fonctionnalité ou implanter une porte dérobée.
  

En clair, les chercheurs ont découvert que les personnes qui se trouvent sur le même réseau que le smartphone ou l'application Web peuvent surveiller ou modifier le trafic sensible. Une commande utile peut envoyer un message texte à un numéro de téléphone choisi par l’attaquant. Un attaquant peut l'utiliser pour obtenir le numéro de téléphone associé à un compte spécifique. À partir de là, les attaquants du même réseau pourraient modifier les coordonnées GPS que le traceur signale ou forcer l’appareil à appeler un numéro de leur choix et à diffuser tout son à portée du microphone. D'autres commandes permettaient aux périphériques de revenir aux paramètres d'usine, y compris le mot de passe par défaut, ou d'installer un firmware choisi par l'attaquant.

Une autre commande permet aux attaquants de changer l’adresse IP du serveur avec lequel le traceur communique. Les chercheurs d’Avast ont exploité cette faiblesse pour mettre en place une attaque de type man-in-the-middle qui leur permettait de contrôler en permanence le périphérique. À partir de ce moment, les attaquants n'auraient plus besoin d'être connectés au même réseau que le smartphone ou l'application Web. Ils seraient en mesure de voir et de modifier tout le texte en clair passant par leur proxy.

Les chercheurs ont également déterminé que toutes les données transitant entre le réseau GSM et le serveur cloud étaient non seulement non chiffrées mais également non authentifiées. La seule chose qui permettait d'identifier l'appareil était son IMEI. Les chercheurs ont indiqué qu'ils avaient informé le vendeur du traceur T8 Mini GPS le 24 juin de ces vulnérabilités et qu'ils n'avaient jamais reçu de réponse.

Sans surprise, les chercheurs ont également découvert que l’application mobile AIBEILE (disponible sur Google Play et iOS App Store) communiquait avec le cloud via un port HTTP non standard, TCP:8018, envoyant du texte brut non chiffré au terminal. Après avoir examiné minutieusement l’appareil lui-même pour analyser la façon dont il communique avec le cloud, le Threat Labs d’Avast a confirmé que les données transitent à nouveau sans être chiffrées, du réseau GSM au serveur, sans aucune autorisation.

Outre l’appareil qui fait l’objet de cette étude, Avast a identifié 29 autres modèles de traceurs GPS présentant ces vulnérabilités de sécurité — dont la plupart sont fabriqués par le fournisseur mentionné ci-dessus — ainsi que 50 applications mobiles différentes utilisant la même plateforme non chiffrée, dont il a été question précédemment. Concernant les autres modèles de traceurs GPS présentant ces vulnérabilités de sécurité, il s'agit de :
[LIST][*]T58[*]A9[*]T8S[*]T28[*]TQ[*]A16[*]A6[*]3G[*]A18[*]A21[*]T28A[*]A12[*]A19[*]A20[*]A20S[*]S1[*]P1[*]FA23[*]A107[*]RomboGPS
[*[/*]...