Un popular rastreador de GPS, que se usa como alarma de pánico para pacientes ancianos, para monitorear a niños y para rastrear vehículos, contiene fallas de seguridad, que los investigadores de seguridad dicen que son tan graves que el dispositivo debe ser retirado del mercado.
el rastreador de ubicación de etiquetas, renombrado y vendido por más de una docena de compañías, incluyendo Pebbell by HoIP Telecom OwnFone Footprint y SureSafeGo – usa una tarjeta SIM para conectarse a la celda 2G / GPRS red. Aunque ninguno de los dispositivos tiene conectividad a Internet y no lo están en sitios de bases de datos de dispositivos expuestos como Shodan todavía se puede acceder a ellos y controlarlos por SMS de manera remota.
Investigadores de la firma de ciberseguridad del Reino Unido Fidus Information Security dicen que se puede engañar al dispositivo para que cambie su ubicación en tiempo real simplemente enviando un mensaje de texto con una palabra clave. A través de otro comando, cualquiera puede llamar al dispositivo y escuchar remotamente su micrófono incorporado sin alertar a nadie.
Otro comando puede eliminar la señal de la celda de forma remota, haciendo que el dispositivo sea realmente inútil.
Aunque el dispositivo puede protegido con un PIN, no está habilitado de forma predeterminada. Peor aún, los investigadores descubrieron que el dispositivo se puede reiniciar de forma remota sin necesidad de un PIN, lo que abre el dispositivo a otros comandos.
"Este dispositivo se comercializa para mantener a los más vulnerables a salvo y, sin embargo, cualquiera puede localizar y escuchar miles. de la vida de las personas sin su conocimiento ", dijo Andrew Mabbitt de Fidus, quien escribió los hallazgos del equipo . “Hoy en día, todo está conectado de una manera u otra y parece que estamos dejando atrás la seguridad; esto no va a terminar bien ".
Un atacante solo requiere el número de teléfono del dispositivo, dijo Mabbitt a TechCrunch. Su equipo demostró que era fácil extrapolar cientos de números de teléfono activos conectados a dispositivos vulnerables basados en un solo dispositivo conocido. "Supusimos que estos números se compraron en un lote", dijo la redacción del equipo.
El equipo compró un dispositivo y permitió que TechCrunch verificara sus hallazgos. Con un solo comando, recibimos un mensaje de texto en segundos con las coordenadas precisas de su ubicación. También podríamos extraer otra información del dispositivo, incluido su número de IMEI y el nivel de la batería.
El truco de llamadas telefónicas, que Mabbitt llamó "escuchas telefónicas glorificadas", también funcionó.
Un mensaje de texto a un dispositivo vulnerable comprado por los investigadores de seguridad, nos permitió tomar remotamente sus coordenadas en tiempo real. La geolocalización fue precisa a pocos metros. (Imagen: TechCrunch)
Se estima que hay 10.000 dispositivos en el Reino Unido y miles más en todo el mundo. Pero Mabbitt dijo que no hay manera de arreglar las vulnerabilidades sin recordar todos los dispositivos.
"Reparar esta falla de seguridad sería trivial", dijo el equipo. “Todo lo que tenían que hacer era imprimir un código único en cada colgante y exigir que se usara para cambiar las configuraciones. La ubicación y las funciones de llamada se podrían bloquear para llamadas y mensajes de texto solo de los números previamente programados como contactos de emergencia ".
El Reino Unido anunció la semana pasada una nueva ley de ciberseguridad propuesta que requeriría dispositivos conectados para ser vendido con una contraseña única, y no una predeterminada.
Ninguno de los vendedores de dispositivos con los que nos pusimos en contacto respondió a una solicitud de comentario.
Lea más:
No comments:
Post a Comment