I GPS tracker vengono utilizzati da tante persone in giro per il mondo, ma probabilmente in pochi sapranno di avere potenzialmente tra le mani dispositivi che trasmettono dati in modo poco sicuro. Vediamo cosa hanno scoperto i ricercatori Avast.
La celebre compagnia di sicurezza Avast ha informato il produttore di questi GPS tracker già qualche mese fa, ma non ha ricevuto riscontri: i modelli “incriminati” sono 31 e sono prodotti da i365 Tech, compagnia con sede a Shenzhen (Cina) che si occupa di dispositivi IoT, e soffrono di gravi problemi di sicurezza.
Questi tracker consentono ad esempio di tenere sotto controllo la posizione dei propri figli attraverso un’apposita app di accompagnamento e un portale web; la posizione e i dati vengono inviati su un server cloud che comunica con l’app, ma i ricercatori hanno notato qualcosa di anomalo. Non solo le informazioni vengono inviate non crittografate (HTTP e non HTTPS), ma gli username sono basati sui codici IMEI e la password di default – udite udite – è la più classica che si possa immaginare: ebbene sì, l’avete indovinata anche voi, si tratta proprio di “123456”, e sono parecchie migliaia gli utenti (600.000 secondo i dati diffusi) a non averla mai cambiata.
Eventuali malintenzionati, avvisa Avast, possono intercettare facilmente non soltanto questi dati, ma anche chiamate, messaggi e numeri di telefono associati. Senza dimenticare, ovviamente, che risulterebbe facile cambiare la password ed escluderli dal servizio. Questi GPS tracker vengono usati in tutto il mondo, anche in Europa: se ne siete possessori, cercatevi una password un po’ più complicata.