ГНСС-трекеры уязвимы без всякого интернета

Широко используемый ГНСС-трекер с тревожной кнопкой для беззащитных людей может быть взломан через текстовое сообщение. Об этом опубликовала своё исследование фирма по инфобезопасности Fidus из Кембриджа.

В Британии этим девайсом пользуются как минимум 10000 человек. Брелок каплевидной формы известен под разными именами: Pebbell 2, Footprint – Anywhere Care, SureSafeGO 24/7 Connect, Ti-Voice – TrackIt24/7 и много других. Выпускается под разными брендами в Китае, и широко используется в секторе здравоохранения – автор исследования утверждает, что его пожилой родственник снабжён таким устройством по инициативе и за счёт местного органа самоуправления.

Речь не идёт о стандартном хакерском взломе. Устройство не соединено с интернетом, что не даёт возможности хакинга. Устройство работает на основе сообщений СМС. Когда уязвимая персона нажимает тревожную кнопку или фиксирует падение с помощью специального датчика, устройство транслирует ГНСС-координаты через текстовое сообщение друзьям и родственникам. Оно также имеет микрофон и динамик.

Выяснилось, что установки устройства могут быть изменены через текстовое сообщение. Это сообщение может прийти от кого угодно, знающего номер. Таким образом люди смогут получить ГНСС-координаты, включить микрофон или удалённо отключить сотовую связь – обычным СМС-посланием. Обычно пользователи могут запрашивать PIN-код в сообщении, чтобы предотвратить подобную неприятность, но в этих устройствах данная мера безопасности опущена в силу какого-то поразительного дизайнерского решения. Без всяких кодов и паролей текст может удалённо перезагрузить и стереть устройство.

Частное владение таким девайсом несёт в себе определённый риск. Разве что никто не должен знать телефонный номер симки кроме пользователя.

Наибольший риск может быть для тех организаций, которые закупают устройства большими партиями, как в случае с родственником автора доклада. Исследователи отправили командный файл на языке Python на 2500 номеров, чтобы посмотреть, сколько устройств им ответят. 175 девайсов поспешили посигналить в ответ – порядка 7%.

«Справиться с этой прорехой в безопасности несложно, - утверждают исследователи. – Всё, что нужно, это впечатать уникальный код в каждое устройство требовать его при смене конфигурации. Локацию и функции звонка могут быть доступны только для тех номеров, которые предварительно запрограммированы как контакты для экстренной помощи».

Но есть одно «но»:

«Эти устройства находятся в пользовании, и сейчас устранить эту проблему невозможно, - пишут исследователи. – Просто любые местные власти, снабжающие людей этими девайсами, и работодатели, использующие их, чтобы их рабочие были в безопасности, должны принимать к сведению. Данную проблему».

Подписывайтесь на журнал «Вестник ГЛОНАСС» и навигационный канал на TamTam