Sicurezza

‎GPS e sicurezza, oltre mezzo milione di localizzatori hanno “123456” come password

I ricercatori di Avast hanno trovato gravi vulnerabilità di ‎‎sicurezza in oltre 600.000 localizzatori GPS‎‎ disponibili alla vendita su Amazon e altri siti di e-commerce, che lasciano esposti i dati degli utenti, comprese le coordinate GPS in tempo reale. L’azienda ceca avrebbe avvisato prontamente i produttori sin dallo scorso giugno, quando le vulnerabilità furono scoperte, ma a quanto pare non ha mai ottenute risposta.

I tracker, in totale oltre 600mila unità di 31 diversi modelli, tutti prodotti dalla cinese Shenzhen i365 Tech, consentono agli utenti di tenere traccia sul proprio tablet o smartphone della posizione dei propri figli attraverso un’app e un sito Web. I localizzatori, attraverso le app, comunicano la posizione a un server cloud. Purtroppo però i ricercatori si sono accorti che la comunicazione dai dispositivi verso il cloud non è cifrata e ‎che i nomi utente erano basati sul numero IMEI (‎‎International Mobile Equipment Identity‎‎) dei tracker, con “123456” come password predefinita.

‎Secondo Avast hacker e malintenzionati possono utilizzare queste informazioni per intercettare i dati ed emettere comandi non autorizzati, ma anche utilizzare il tracker per chiamare e inviare messaggi a numeri di telefono arbitrari, riuscendo così anche a spiare le conversazioni senza che gli utenti se ne accorgano. ‎Inoltre sarebbe anche possibile prendere il controllo degli account delle vittime passando attraverso i codici IMEI dei tracker, oppure ottenere le coordinate GPS in tempo reale semplicemente inviando un SMS al numero di telefono associato alla scheda SIM inserita nel tracker.‎

Benché prodotti in Cina, secondo Avast questi localizzatori GPS sarebbero assai diffusi in Occidente, compresi Stati Uniti ed Europa. Questo del resto non è il primo episodio del genere. A maggio scorso una società di sicurezza britannica scovò una vulnerabilità analoga in altri localizzatori GPS, tanto che le autorità del Regno Unito stanno ora considerando una legge che obblighi i produttori a vendere dispositivi con connessione internet dotati di password uniche piuttosto che di default. La soluzione migliore comunque è sempre la più semplice: basterebbe essere meno pigri e prendersi la briga di sostituire la password di default con una nuova.

Se state cercando un tracker GPS affidabile per la vostra automobile, quello di Lekemi è Amazon’s choice e ha un prezzo abbordabile.