Avast hat schwerwiegende Sicherheitslücken im T8 Mini GPS Tracker und knapp 30 weiteren Modellen des chinesischen Herstellers Shenzhen i365 Tech entdeckt. Diese Geräte versprechen beispielsweise Kinder, Senioren und Haustiere zu beschützen. Doch stattdessen lassen sich alle Daten, die an die Cloud gesendet werden, einschließlich genauer Echtzeit-GPS-Koordinaten, einfach einsehen.

Darüber hinaus können Konstruktionsfehler Dritten ermöglichen, den Standort herauszufinden oder auf das Mikrofon zuzugreifen, um heimlich Gespräche mitzuhören. Avast-Threat-Labs-Experten schätzen, dass weltweit 600.000 unsichere Tracker im Einsatz sind, und weisen in diesem Zusammenhang darauf hin, dass diese IoT-Sicherheitsprobleme weit über den Rahmen eines einzigen Herstellers hinausgehen.

Shenzhen i365 Techs Technologie ist als Whitelabel-Lösung verfügbar und daher in diversen Produkten auf dem Markt integriert, wie zum Beispiel im „LNLZYF Intelligentes Armband mit OLED-Bildschirm T58“ in Deutschland.

Martin Hron, Senior Researcher bei Avast, der dieses Projekt geleitet hat, empfiehlt Käufern deshalb, sich für eine Alternative einer namhaften Marke zu entscheiden, die Sicherheit in das Produktdesign integriert hat.

„Wie bei jedem handelsüblichen Gerät empfehlen wir, die standardmäßigen Admin-Passwörter in etwas Komplexeres zu ändern; in diesem Fall wird jedoch selbst das eine motivierte Person nicht davon abhalten, den unverschlüsselten Datenverkehr abzufangen."

„Wir haben unsere Sorgfaltspflicht bei der Offenlegung dieser Schwachstellen gegenüber dem Hersteller erfüllt, aber da wir nach Ablauf der üblichen Frist keine Rückmeldung erhalten haben, geben wir diese Mitteilung jetzt heraus und raten den Verbrauchern dringend, die betroffenen Geräte nicht mehr zu verwenden."

Das Avast Threat Lab analysierte zunächst die Inbetriebnahme des T8 Mini und folgte dabei den Anweisungen zum Herunterladen der mobilen App. Benutzer können sich dann mit ihrer zugewiesenen ID-Nummer und dem sehr allgemeinen Standardpasswort „123456” bei ihrem Konto anmelden. Alle diese Informationen werden über das unsichere HTTP-Protokoll übertragen.

Die ID-Nummer wird von der International Mobile Equipment Identity (IMEI) des Geräts abgeleitet, sodass es für die Experten einfach war, mögliche ID-Nummern anderer Tracker dieses Herstellers vorherzusagen und aufzuzählen. In Kombination mit dem festen Passwort könnte praktisch jedes Gerät, das dieser Sequenz von IMEI-Nummern folgt, mit geringem Aufwand gehackt werden.

Mit einem einfachen Lookup-Werkzeug entdeckten die Sicherheitsforscher, dass alle Anfragen, die von der Webanwendung des Trackers stammen, im unverschlüsselten Klartext übertragen werden. Noch wichtiger ist, dass das Gerät Befehle ausgeben kann, die über die beabsichtigte Verwendung von GPS-Tracking hinausgehen.

So kann das Gerät beispielsweise:

  • eine Telefonnummer anrufen, damit ein Dritter über das Mikrofon des Trackers lauschen kann,
  • eine SMS-Nachricht senden, die verwendet werden kann, um die Telefonnummer des Geräts zu identifizieren und eingehende SMS-Nachrichten als Angriffsvektor zu verwenden,
  • eine SMS nutzen, um die Kommunikation von dem Gerät zu einem alternativen Server umzuleiten, um volle Kontrolle über das Gerät zu erhalten oder Informationen, die an die Cloud geschickt werden, zu manipulieren und
  • eine URL an den Tracker weitergeben, sodass ein Angreifer per Fernzugriff eine neue Firmware auf dem Gerät platzieren kann, ohne dieses überhaupt zu berühren. Dadurch lässt sich die Funktionalität des Geräts komplett verändern oder eine Hintertür zur Spionage einbauen.

Zudem kommuniziert die begleitende mobile App AIBEILE (sowohl bei Google Play als auch beim iOS App Store erhältlich) auch über einen nicht standardisierten HTTP-Port, TCP:8018, mit der Cloud und sendet unverschlüsselten Klartext an einen Endpunkt. Nachdem die Sicherheitsforscher das Gerät selbst zerlegten, um zu analysieren, wie es mit der Cloud kommuniziert, bestätigten sie, dass die Daten erneut unverschlüsselt und ohne jegliche Berechtigung vom GSM-Netz zum Server übertragen werden.

Zusätzlich zu diesem Gerät, das im Mittelpunkt der Untersuchung stand, hat Avast 29 weitere Modelle von GPS-Trackern identifiziert, die diese Sicherheitsschwachstellen aufweisen – die meisten davon stammen von dem bereits genannten Anbieter – sowie 50 verschiedene mobile Anwendungen, die dieselbe unverschlüsselte Plattform nutzen, die oben erläutert wurde.

Die Sicherheitsexperten schätzen, dass mehr als 600.000 Geräte mit standardmäßigen „123456”-Passwörtern im Umlauf sind und die mobilen Apps mehr als 500.000 Downloads haben. Der Hersteller hat auch auf mehrmalige Benachrichtigungen, die auf den Fehler hinweisen, bislang nicht reagiert.

Leena Elias, Head of mobile delivery bei Avast, fordert die Öffentlichkeit auf, Vorsicht walten zu lassen, wenn sie billige oder Imitate von Smart Devices kaufen. „Als Eltern neigen wir dazu, Technik zu nutzen, die hilft, unsere Kinder zu beschützen, aber wir müssen über die Produkte, die wir kaufen, informiert sein.”

„Verbraucher sollten sich vor Herstellern hüten, die nicht einmal die Mindestsicherheitsstandards erfüllen und keine Drittzertifizierungen haben. Stattdessen sollten sie auf Markenprodukte renommierter Hersteller vertrauen, auch wenn diese teurer sind.”

Weitere Beiträge....