Сказки о безопасности: Пароль GPS-трекера

— Доброе утро, Иоганн!

— Доброе утро, господин канцлер! Чем мы можем вам помочь?

— Не мне, империи! К нам обратились представители республики К, точнее компании, специализирующейся на выпуске GPS-трекеров, используемых для отслеживания пожилых людей и детей. Эти устройства непосредственно затрагивают безопасность пожилых людей и детей, которые сами не смогут правильно их настроить, и мы решили обратиться к вашим специалистам, прежде чем разрешить их продажу в империи. Откровенно, Иоганн, я бы и сам купил такое устройство для своего пожилого отца. А то с возрастом он стал забывать, где он живет и куда идет...

— Сочувствую, господин канцлер! Если компания предоставит образцы для тестирования, то, думаю, нам хватит месяца, чтобы предоставить наши замечания и рекомендации. Если конечно, это потребуется.

— Отлично, я передам ваше предложение и думаю завтра они будут у вас.

— Добрый день, Карл! К нам завтра привезут образцы GPS-трекеров представители компании из республики К. Вы могли бы посмотреть, можем ли мы дать разрешение на ввоз этих устройств в империю?

— Безусловно! Сделаю.

Прошел месяц.

— Иоганн, по поводу GPS-трекеров. В них по умолчанию установлен пароль «123456». Во всех. Фактически это приводит к тому, что злоумышленники могут использовать этот пароль для взлома учетных записей пользователей, а затем подслушивать разговоры рядом с GPS-трекером, подделывать его реальное местоположение или получить номер телефона на установленной SIM-карте для отслеживания по каналам GSM.

— Ого! Много таких моделей?

— Проблема была обнаружена в более 30 моделях GPS-трекеров, изготовленных данным производителем IoT-устройств. Для всех используется одна и та же серверная инфраструктура, которая состоит из облачного сервера, веб-панели для мониторинга местоположения трекера через браузер и мобильного приложения, которое также подключается к облачному серверу.

Нам удалось выяснить, что идентификаторы пользователей основываются IMEI GPS-трекера и являются последовательными. Злоумышленник может запускать автоматические атаки на облачный сервер, просматривать все идентификаторы пользователя один за другим, использовать один и тот же пароль «123456» и перехватывать учетные записи пользователей.

— Пользователи могут изменить дефолтный пароль после первого входа в учетную запись?

— Да. Но кто это делает? В аналогичном исследовании во время сканирования около 4 млн. идентификаторов пользователей специалисты обнаружили свыше 600 тыс. учетных записей с паролем «123456».

— Что говорят представители компании?

— Они заявляют, что в документации на первой же странице написано, что необходимо сменить пароль. Мы также рекомендуем пользователям сменить пароли как можно скорее. А в целом к изделию замечаний нет.

А вы меняете заводские пароли, установленные на ваших гаджетах?