I ricercatori di Avast hanno trovato gravi vulnerabilità di sicurezza in oltre 600.000 localizzatori GPS disponibili alla vendita su Amazon e altri siti di e-commerce, che lasciano esposti i dati degli utenti, comprese le coordinate GPS in tempo reale. L'azienda ceca avrebbe avvisato prontamente i produttori sin dallo scorso giugno, quando le vulnerabilità furono scoperte, ma a quanto pare non ha mai ottenute risposta.
I tracker, in totale oltre 600mila unità di 31 diversi modelli, tutti prodotti dalla cinese Shenzhen i365 Tech, consentono agli utenti di tenere traccia sul proprio tablet o smartphone della posizione dei propri figli attraverso un'app e un sito Web. I localizzatori, attraverso le app, comunicano la posizione a un server cloud. Purtroppo però i ricercatori si sono accorti che la comunicazione dai dispositivi verso il cloud non è cifrata e che i nomi utente erano basati sul numero IMEI (International Mobile Equipment Identity) dei tracker, con "123456" come password predefinita.
Secondo Avast hacker e malintenzionati possono utilizzare queste informazioni per intercettare i dati ed emettere comandi non autorizzati, ma anche utilizzare il tracker per chiamare e inviare messaggi a numeri di telefono arbitrari, riuscendo così anche a spiare le conversazioni senza che gli utenti se ne accorgano. Inoltre sarebbe anche possibile prendere il controllo degli account delle vittime passando attraverso i codici IMEI dei tracker, oppure ottenere le coordinate GPS in tempo reale semplicemente inviando un SMS al numero di telefono associato alla scheda SIM inserita nel tracker.
Benché prodotti in Cina, secondo Avast questi localizzatori GPS sarebbero assai diffusi in Occidente, compresi Stati Uniti ed Europa. Questo del resto non è il primo episodio del genere. A maggio scorso una società di sicurezza britannica scovò una vulnerabilità analoga in altri localizzatori GPS, tanto che le autorità del Regno Unito stanno ora considerando una legge che obblighi i produttori a vendere dispositivi con connessione internet dotati di password uniche piuttosto che di default. La soluzione migliore comunque è sempre la più semplice: basterebbe essere meno pigri e prendersi la briga di sostituire la password di default con una nuova.
Se state cercando un tracker GPS affidabile per la vostra automobile, quello di Lekemi è Amazon's choice e ha un prezzo abbordabile.