La Società di cyber-security Avast ha reso noti i risultati di un suo studio riguardante i device GPS tracker "T8 mini" prodotti dalla cinese Shenzhen i365-Tech e commercializzati anche con altri marchi.
Sostanzialmente, questi device, oltre a rilevare la posizione via sistemi GPS, si connettono a una infrastruttura cloud del produttore, con account uguale al codice IMEI e password (fissa) 123456.
Considerato che i codici IMEI sono assegnati alla produzione in maniera sequenziale, e che l'utente finale, pur avendo la possibilità di cambiare password dopo l'acquisto, molto raramente la cambia, per un entità malintenzionata è abbastanza facile prendere il controllo dei dati trasmessi dal device, per esempio cambiando la geo-localizzazione, oppure utilizzarli a scopo fraudolento: molti di questi device sono usati per "tracciare" la posizione di cani, bambini o automobili. Alcuni sono provvisti di un bottone di "emergenza" che permette ad anziani che vivono soli di allertare parenti o soccorsi in caso di problemi. In questi casi il device è provvisto di microfono e scheda SIM per far partire telefonate di richiesta soccorso. Un malintenzionato può invece stabilire una comunicazione telefonica con la scheda SIM del device, attivare il microfono e registrare rumori e conversazioni che avvengono nelle vicinanze (raccogliendo notizie sulle abitudini della persona anziana a scopo malevolo).
La società Shenzhen i365-Tech pare che non abbia ancora risposto alle segnalazioni inviate da Avast circa questa vulnerabilità.
Per ulteriori informazioni, qui il report di Avast (in inglese):
https://decoded.avast.io/martinhron/the-secret-life-of-gps-trackers/
