GPS-трекеры под угрозой
По данным Avast Threat Labs, в России находится около 15 тыс. незащищенных GPS-трекеров. В частности, исследователи нашли уязвимости в моделях китайского производителя Shenzhen. Устройства позволяют третьим лицам получить все данные из облака, включая точные GPS-координаты, в режиме реального времени. Кроме того, злоумышленники могут подделать местоположение или получить доступ к микрофону для прослушивания. Специалисты Avast подсчитали, что всего в мире - около 600 тыс. незащищенных трекеров. Эксперты уверены: проблемы безопасности IoT-устройств выходят за пределы продукции одного поставщика.
"Мы провели детальное сканирование только части возможных трекеров. По подсчетам Avast, в России находится около 15 тыс. незащищенных GPS-трекеров. Причина приблизительных цифр заключается в том, что номера IMEI (международная идентификация мобильного оборудования - прим. ComNews) могут начинаться с разных префиксов. Для нашего сканирования мы выбрали только один префикс IMEI, проведя глубокое сканирование в общей сложности миллиона устройств по всему миру с этим конкретным префиксом IMEI", - объясняет результаты исследования специалист по безопасности компании Avast Мартин Хрон.
Всего специалисты проанализировали 4 млн трекеров, 600 тыс. из них используют пароль по умолчанию, что означает: примерно 15% от общего количества уязвимы. Сейчас уязвимости появились еще и в облачных инфраструктурах, что также влияет на уровень безопасности трекеров. Так как облако позволяет отправлять команду на любой трекер, злоумышленник может легко шпионить за пользователем трекера.
В основном уязвимости возникают из-за незащищенных облаков, а так как эта инфраструктура активно используется всеми поставщиками, в том числе и за пределами Китая, то, как предполагает Мартин Хрон, скорее всего, проблемы еще есть у многих других производителей.
Насколько активно киберпреступники атакуют трекеры в России, определить сложно. Но тот факт, что устройства позволяют злоумышленникам прослушивать жертву и получать доступ к ее местоположению, делает их идеальным инструментом для вымогательства и шпионажа. Так как большинство атак выполняется пассивно, трудно оценить, сколько устройств в мире, в России было атаковано. "Мы наблюдали активность в данной инфраструктуре, главным образом в облачных хранилищах, которая является доказательством того, что кто-то пытался использовать уязвимости бэкэнд-серверов", - сказал Мартин Хрон.
Есть много возможных векторов атаки, которыми могут воспользоваться хакеры. Учитывая тот факт, что каждый отдельный канал связи с облаком, который используют трекеры, имеет проблемы с безопасностью, у хакеров есть неограниченные возможности для их использования. "Преступники могут взломать трекер еще на полке магазина. Учетная запись каждого устройства активна с момента его изготовления, поэтому злоумышленник может заблокировать учетную запись еще до того, как устройство купят. Заблокировать учетную запись можно на основе номера IMEI, поскольку можно изменить пароль от учетной записи нового устройства", - говорит Мартин Хрон.
Существуют некоторые команды, которые могут быть отправлены на трекер только с помощью SMS-сообщения. Например, команда, позволяющая пользователям устанавливать облачный сервер, на который передаются данные. Если пользователь не введет номер SIM-карты трекера в учетную запись, злоумышленник, видя только учетную запись, не узнает номер. Но все равно сможет легко получить его. Через учетную запись злоумышленник может заставить трекер отправить SMS-сообщение на номер телефона жертвы - это позволит ему связать идентификатор трекера с номером телефона. Когда номер будет известен, злоумышленник может отправить SMS-сообщение, которое устанавливает новый IP-адрес и порт облачного сервера и перенаправляет весь трафик с трекера на выбранный им сервер. Все это можно сделать удаленно, поэтому хакер может увидеть все движения человека с трекером.
Производители бюджетных устройств нередко не учитывают безопасность, поскольку им важнее получить максимальную прибыль. Таким образом, они делают устройство максимально недорогим, не заботясь о безопасности, а пользователи не хотят вникать в настройки учетной записи. Для них главное - трекер работает, и они боятся его сломать.
Руководитель отдела аналитики и спецпроектов InfoWatch Андрей Арсентьев считает, что проблема уязвимости GPS-трекеров и других IoT-устройств - общая для всех стран. В погоне за прибылью и расширением рынков сбыта компании зачастую уделяют недостаточно внимания информационной безопасности. "Использование устаревших протоколов, отсутствие шифрования данных, небезопасные API, уязвимости типа IDOR - последние позволяют получить доступ к чужим данным - вот лишь основной список неприятностей, которые могут подстерегать миллионы пользователей трекеров во всем мире", - говорит специалист.
Кроме того, проблемы безопасности усугубляет низкий уровень цифровой гигиены многих пользователей. Люди не устанавливают обновления, продолжают использовать устройства с паролями по умолчанию "123456" и порой даже не подозревают, что трекер может стать для злоумышленника отличным устройством для слежения.
"Уязвимые устройства хакеры могут объединять в ботнеты для последующего проведения DDoS-атак, рассылки спама и вирусов, кражи личных данных", - напомнил Андрей Арсентьев.