セキュリティ

60万台以上ものGPSトラッカーの情報が「123456」というパスワードでオンライン上に公開されているとセキュリティ会社が警告

by mohamed hassan

GPSを使ってスマートフォンなどから位置を特定できる「GPSトラッカー」は、子どもやペット、車などの位置を把握するために用いられるデバイスで、安いものでは2000円程度の価格でAmazonなどの通販サイトで購入できます無料のアンチウイルスソフト「Avast Software」を開発するAvast Softwareは、市販されているGPSトラッカー約60万台が盗聴やスパイ、スプーフィング攻撃に対して脆弱であると発表しました。

The secret life of GPS trackers (1/2) - Avast Threat Labs
https://decoded.avast.io/martinhron/the-secret-life-of-gps-trackers/

600,000 GPS trackers left exposed online with a default password of '123456' | ZDNet
https://www.zdnet.com/article/600000-gps-trackers-left-exposed-online-with-a-default-password-of-123456/

GPSトラッカーはGPSモジュールで取得した位置情報を通信モジュールで送信し、所有者の位置を捕捉することができるというもの。GPSトラッカー自体はシンプルで安価なものですが、中にはSOSボタンを押すことで電話の機能を使えるものや、内蔵するスピーカーから音を再生できるものも存在します。GPSトラッカーから送信された位置情報はクラウドにアップロードされ、ウェブアプリやスマートフォンのアプリから閲覧することが可能になります。


Avast Softwareのネットワークセキュリティの研究チームであるAvast Threat Labsは、GPSトラッカー上での処理プロセス、トラッカーとクラウド間のトラフィック、アプリケーションやクラウド間のトラフィックなどを分析するため、中国製の「T8 Mini」を購入。T8 Miniはキーリング程度の大きさのGPSトラッカーで、SOSボタンとスピーカーとマイクを搭載しているため、双方向通信機能が可能なモデルです。


以下の画面は、実際にAvast Threat Labsがウェブアプリにログインして位置情報を閲覧したところ。Googleマップ上にGPSトラッカーの場所、製造識別番号(IMEI)、オンライン状態、バッテリーの残量、位置情報取得日時、停止時間が表示されています。T8 Miniの位置情報は、ウェブアプリとスマートフォンアプリから見ることができます。


しかし、このウェブアプリ版のログインフォームは暗号化通信であるHTTPSプロトコルではなく、HTTPプロトコルで提供されていて、「まずこの時点で間違っている」とAvast Threat Labsは指摘しています。

説明書には、デフォルトのログインIDはトラッカーの製造識別番号(IMEI)、デフォルトのパスワードはなんと「123456」に設定されていると書かれていました。また、驚くべきことに「ユーザーIDにユーザーネームを登録するためには、購入した小売店に問い合わせる必要があります」という一文が説明書の最後に記載されていました。Avast Threat Labsは「IMEIと123456がIDとパスワードに設定されているのは、小売店がアクセスするためなのは明らかです」とコメント。


つまり、ユーザーアカウントの情報が暗号化されずにインターネット上で送信されていることになり、デフォルトのパスワードを変更していない場合、悪意のある攻撃者によってトラッカーを簡単に乗っ取られる可能性があるとAvast Threat Labsは指摘しました。この脆弱性によって、攻撃者はトラッカーの位置情報を簡単に調べられるだけでなく、リモート操作でSOS機能を利用して双方向通信機能を起動させ、攻撃者のデバイスから盗聴を行うことも可能になります。

Avast Threat Labsはさらに、トラッカーのIMEIを分析しています。それによると、ウェブアプリ版で表示されるIMEIは11桁の数字となっていて、「15桁の長さが必要」というIMEIの標準に則していないとのこと。さらにAvast Threat Labsが調査を重ねたところ、表示されるIMEIは本当のIMEIではなく、あくまでもIMEIを元に作られたIDでしかないことが判明しました。以下の画像の通り、本当のIMEIはトラッカー本体の内部に記載されていたそうです。


Avast Threat Labsは、冒頭4桁が「1703」となっているID100万件をスキャンし、そのうち60万のデバイスが、デフォルトのパスワード「123456」で稼働していることを突き止めました。そして、少なくとも16万7000台はオンライン上で位置情報が検索可能だったと発表しています。なお、同じシステムやAPIを利用していることから、この問題はT8 Miniに限らず約30種類のGPSトラッカーで確認できたとのこと。


一連の問題について、Avast Threat LabsはGPSトラッカーのベンダーに2019年6月に通知したそうですが、2019年9月5日時点でどのベンダーからも返信がなかったとのことです。

この記事のタイトルとURLをコピーする

・関連記事
Facebookのデータベースがオンラインで公開され4億人以上の個人情報が流出していたと判明 - GIGAZINE

Supermicro製サーバー4万7000台超に影響を及ぼす脆弱性「USBAnywhere」 - GIGAZINE

Googleが「iPhoneの脆弱性を悪用するサイトが2年間にわたり個人情報を盗みまくってきた」と指摘 - GIGAZINE

Google Playでダウンロード数1億以上の人気アプリにマルウェア混入が発覚 - GIGAZINE

Wi-Fi経由でSnapdragon搭載スマートフォンを乗っ取り可能な脆弱性が発見される - GIGAZINE

Wi-Fiセキュリティ新規格「WPA3」にWi-Fiのパスワードが漏れる新たな脆弱性が発見される - GIGAZINE

・関連コンテンツ

in ハードウェア,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article here.