quarta-feira, 6 de novembro de 2019
GPS tracker permite espiar utilizadores remotamente
A ideia subjacente à utilização de um tracker GPS é possibilitar a monitorização remota, mas as coisas mudam de figura quando se descobre que múltiplos aparelhos afinal permitem que qualquer outra pessoa possa espiar a localização e até ouvir o que se passa.
Há um tracker GPS de um fabricante chinês que é vendido remarcado por múltiplas marcas (Pebbell, OwnFone Footprint, SureSafeGo, etc.) e que tem falhas básicas preocupantes. Este tipo de trackers é usado para monitorizar a localização de veículos, idosos, crianças, etc. Mas, em vez de poder ser apenas utilizado pelo dono ou pessoas autorizadas, permitem que o mesmo seja explorado por qualquer pessoa que saiba o número de telefone associado ao cartão SIM que lhe for colocado.
Este tracker não fica ligado directamente à internet, sendo controlado via SMS. Através de mensagens podemos solicitar o envio da localização actual, activar ou desactivar funções (incluindo desligar o aparelho), e até escutar o que se passa no local via chamada telefónica "só de escuta". Os investigadores criticam o facto do tracker não trazer activo de fábrica a funcionalidade de protecção das comunicações via código PIN (que terá que ser activada pelo utilizador), mas o maior problema é que mesmo isso não servirá de muito, já que é possível fazer um reset remoto ao tracker GPS sem necessidade do código PIN - o que possibilita que um atacante continue a poder controlá-lo remotamente, mesmo que se tivesse definido um código PIN de acesso.
Os investigadores sugerem várias formas sobre como o problema poderia ser resolvido: limitando a recepção de comandos a números de telefone pré-configurados, e / ou recorrendo a códigos únicos de reset impressos em cada aparelho. Imaginando-se que estes trackers nunca venham a ser actualizados, são muitos milhares de dispositivos que potencialmente facilitam a espionagem dos seus utilizadores. Se um destes dias receberem um SMS misterioso contendo apenas coisas como "version" ou "loc", será alguém a varrer números de telefone a ver se descobre destes aparelhos.
Subscrever:
Enviar feedback (Atom)
Sem comentários:
Enviar um comentário