600.000 GPS-Tracker für Kinder haben Sicherheitslücken

Forscher von Avast fanden heraus, dass rund 600.000 GPS-Tracker für Kinder schwerwiegende Sicherheitsmängel aufweisen. Hacker könnten dadurch ihre Kinder online verfolgen!

Hacker
Hacker könnten ihre liebsten Kinder online verfolgen

Eltern, die hoffen, ihre Kinder durch den Einsatz von GPS-Peilsendern schützen zu können, sollten vielleicht noch einmal darüber nachdenken.

Neue Nachforschungen der tschechischen Sicherheitsfirma Avast ergaben einige ernsthafte Sicherheitsprobleme bei Hunderttausenden dieser Geräte, die dazu bestimmt sind, Kinder zu verfolgen.

Etwa 600.000 GPS-Tracker für Kinder haben Sicherheitsmängel

In einem Blog-Beitrag sagte Avast, dass Forscher entdeckt hätten, dass etwa 600.000 Kinder-GPS-Tracker, die bei Amazon und anderen Internet-Händlern verhökert werden, Daten preisgeben, die in die Wolke gesendet werden. Das bedeutet, dass die genauen Echtzeit-GPS-Koordinaten von Kindern in die falschen Hände geraten können.

Avast sagte, dass 29 Modelle, die von Shenzhen i365, einem chinesischen Hersteller, verkauft und unter verschiedenen Markennamen weiterverkauft wurden, die Schwachstellen aufweisen. Das Avast Threat Lab fand heraus, dass die mobile App, die dem Gerät beiliegt, von einer Website heruntergeladen werden kann, die nicht sicher ist und die Informationen der Benutzer preisgibt. Die Benutzerkonten sind alle mit dem Standardpasswort 123456 versehen, das für Hacker sehr leicht herauszufinden ist. Die Geräte sind auch so konzipiert, dass Dritte den Standort des Benutzers vortäuschen oder auf das Mikrofon zugreifen können.

Die Herstellung reagiert nicht

„Wir haben dem Hersteller diese Schwachstellen mit der gebührenden Sorgfalt offengelegt, aber da wir nach Ablauf des üblichen Zeitfensters keine Antwort erhalten haben, geben wir nun diese öffentliche Bekanntmachung an die Verbraucher heraus und raten Ihnen dringend, die Verwendung dieser Geräte einzustellen“, Martin Hron, leitender Forscher bei Avast, der diese Untersuchung leitete. Hron sagte, dass Verbraucher ein GPS-Ortungsgerät von einer Marke ihres Vertrauens kaufen sollten, die sich die Zeit genommen hat, Sicherheit in das Produktdesign einzubauen.  Avast sagte, sie hätten die Hersteller am 24. Juni über die Mängel informiert.

Darüber hinaus sagte er, dass Verbraucher, die intelligente Geräte von der Stange kaufen, die Standard-Admin-Passwörter in etwas ändern sollten, das viel komplizierter ist als 12345. Nicht, dass es in diesem Fall einen Hacker daran hindern würde, den unverschlüsselten Datenverkehr abzufangen, der an den Server gesendet wird.

Andere GPS-Tracker haben ähnliche Mängel

Avast ist bei der Suche nach Sicherheitsmängeln bei Geräten wie GPS-Tracker nicht dabei. Im Mai Fidus stellte die britische Sicherheitsfirma Fidus fest, dass GPS-Tracker, die von älteren Patienten benutzt werden, manipuliert werden könnten, um Standortdaten in Echtzeit zu senden. Dieses Gerät wurde ebenfalls in China hergestellt und ist bei einer Reihe von Wiederverkäufern weiß beschriftet. Fidus sagte, es scheine, dass der Hersteller und die Wiederverkäufer keine Sicherheits- oder Penetrationstests der GPS-Tracker durchgeführt hätten.