Fallas en un rastreador GPS pierden ubicaciones en tiempo real y pueden activar su micrófono de forma remota

Motivo por el cual se considera relevante: Afecta a pacientes que por razones de salud compran el servicio para enviar ubicación, alertas 24/7. Sin embargo en este artículo (Fuente: TechCrunch) muestra que un atacante con el número de teléfono del dispositivo podría:

  • Cambie su ubicación en tiempo real simplemente enviando un mensaje de texto con una palabra clave.
  • Cualquiera puede llamar al dispositivo.
  • Escuchar remotamente su micrófono incorporado sin alertar a nadie.
  • Eliminar de forma remota la señal de la celda, haciendo que el dispositivo sea efectivamente inútil.

Capa tecnológica comprometida: Dispositivo IoT.

Descripción del incidente:

Un popular rastreador de GPS, que se usa como alarma de pánico para pacientes de edad avanzada, para monitorear niños y rastrear vehículos, contiene fallas de seguridad, que los investigadores de seguridad dicen que son tan graves que el dispositivo debe ser retirado.

El rastreador de ubicación de marca blanca fabricado en China, renombrado y vendido por más de una docena de compañías, incluyendo:

Utiliza una tarjeta SIM para conectarse a la red celular “2G / GPRS”. Aunque ninguno de los dispositivos tiene conectividad a Internet y no se puede encontrar en sitios de bases de datos de dispositivos expuestos como Shodan, todavía se puede acceder y controlar de forma remota mediante SMS.

Los investigadores de la firma de ciberseguridad de los EE. UU., Fidus Information Security (https://fidusinfosec.com/ithc-it-health-check/),

dicen que se puede engañar al dispositivo (enviando comandos) para:

  • Cambie su ubicación en tiempo real simplemente enviando un mensaje de texto con una palabra clave.
  • Cualquiera puede llamar al dispositivo.
  • Escuchar remotamente su micrófono incorporado sin alertar a nadie.
  • Eliminar de forma remota la señal de la celda, haciendo que el dispositivo sea efectivamente inútil.

Aunque el dispositivo se puede proteger con un PIN, no está habilitado de forma predeterminada. Peor aún, los investigadores descubrieron que el dispositivo se puede reiniciar de forma remota sin necesidad de un PIN, lo que abre el dispositivo a otros comandos.

“Este dispositivo se comercializa para mantener a los más vulnerables a salvo y, sin embargo, cualquiera puede localizar y escuchar las vidas de miles de personas sin su conocimiento”, dijo Andrew Mabbitt, de Fidus, quien escribió los hallazgos del equipo. “Hoy en día, todo está conectado de una manera u otra y parece que estamos dejando atrás la seguridad; esto no va a terminar bien “.

Un atacante sólo requiere el número de teléfono del dispositivo, dijo Mabbitt a TechCrunch. Su equipo demostró que era fácil extrapolar cientos de números de teléfono activos conectados a dispositivos vulnerables basados ​​en un solo dispositivo conocido. “Supusimos que estos números se compraron en un lote”, dijo la redacción del equipo.

El equipo compró un dispositivo y permitió que TechCrunch verificará sus hallazgos. Con un solo comando:

  • Recibimos un mensaje de texto en segundos con las coordenadas precisas de su ubicación.
  • Extraer otra información del dispositivo, incluido su número IMEI y el nivel de la batería.

El truco de llamadas telefónicas, que Mabbitt llamó “escuchas telefónicas glorificadas”, también funcionó.

Un mensaje de texto a un dispositivo vulnerable, comprado por los investigadores de seguridad, nos permitió tomar remotamente sus coordenadas en tiempo real. La geolocalización fue precisa a pocos metros. (Imagen: TechCrunch).

Se estima que hay 10.000 dispositivos en el Reino Unido y miles más en todo el mundo. El equipo informó a varios de los fabricantes de dispositivos sobre las fallas, pero Mabbitt dijo que no hay manera de corregir las vulnerabilidades sin “recalling” todos los dispositivos.

Pebbell dijo en un correo electrónico después de la publicación que sus dispositivos no eran vulnerables. Ninguno de los vendedores de dispositivos con los que nos pusimos en contacto respondió a una solicitud de comentarios.

“Reparar esta seguridad rota sería trivial”, dijo el equipo. “Todo lo que tenían que hacer era imprimir un código único en cada colgante/dispositivo y exigir que se usará para cambiar las configuraciones. La ubicación y las funciones de llamada se pueden bloquear para llamadas y mensajes de texto solo de los números previamente programados como contactos de emergencia “.

La semana pasada, los EE. UU. Anunciaron una nueva ley de ciberseguridad propuesta que exigiría que los dispositivos conectados se vendan con una contraseña única, y no una predeterminada.

Por ejemplo en el estado de California, fue publicado: Published: 09/28/2018 una legislación de dispositivos conectados, SB -327 Information Privacy: connected devices.

donde indica: La contraseña preprogramada es única para cada dispositivo fabricado.

LAS PERSONAS DEL ESTADO DE CALIFORNIA HACEN CUMPLIR LO SIGUIENTE:
El fabricante de un dispositivo conectado debe equipar el dispositivo con una característica de seguridad razonable o características que sean todas las siguientes:
(1) Adecuado a la naturaleza y función del dispositivo.
(2) Adecuado a la información que puede recopilar, contener o transmitir.
(3) Diseñado para proteger el dispositivo y cualquier información contenida en el mismo contra el acceso, la destrucción, el uso, la modificación o la divulgación no autorizados.
(b) Sujeto a todos los requisitos de la subdivisión (a), si un dispositivo conectado está equipado con un medio de autenticación fuera de una red de área local, se considerará una característica de seguridad razonable bajo la subdivisión (a) si se cumple cualquiera de los siguientes se cumplen los requisitos:
(1) La contraseña preprogramada es única para cada dispositivo fabricado.
(2) El dispositivo contiene una función de seguridad que requiere que un usuario genere un nuevo medio de autenticación antes de otorgarle acceso al dispositivo por primera vez.

####

Sin embargo, hace semanas un análisis reciente de datos que han sido expuestos en brechas de seguridad, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido / CSC’s first ‘UK cyber survey’— encontró que 23.2 millones de cuentas de usuarios en todo el mundo estaban protegidas con la contraseña “123456”, y 7.7 millones utilizaron “123456789” como contraseña.

Finalmente algunas conclusiones:

  • La legislación es importante para exigir a los fabricantes en impleentar controles de seguridad para proteger los dispositivos de las personas que comprarn y proteger frente a un atacante ingresar, modificar, borrar datos personales y con mucha mayor razón si son relacionados a salud.
  • Creo se deben revisar las medidas, por ejemplo colocar un password único por cada dispositivo quizas no sea la mejor opción, si no fijarse en la primera ‘encuesta cibernética del Reino Unido’ donde se oberva que las claves más frecuentes son déviles y pienso que no se cambian con frecuencia, por otro lado Microsoft hace semanas ha indicado que ya no usar contraseñas si no otros tipo de autenticación.
  • Finalmente, pienso que se debe trabajar en la educación a las personas, empresas que usar dispositivos electrónicos se deben tener mucho cuidado con la información que se publica.

Fuente primaria:

Fuente: Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido / CSC’s first ‘UK cyber survey’

https://www.ncsc.gov.uk/news/most-hacked-passwords-revealed-as-uk-cyber-survey-exposes-gaps-in-online-security

Fuente: California Legislative Information:

Fuente:

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store