02.12.2021, 10:56
|
 |
ce est moi
(офицер)
|
|
Регистрация: 11.06.2008
Сообщения: 4,541
Вес репутации: 3416
|
|
|
Сказки о безопасности: Пароль GPS-трекера
Владимир Безмалый | 30.11.2021
Цитата:
— Доброе утро, Иоганн!
— Доброе утро, господин канцлер! Чем мы можем вам помочь?
— Не мне, империи! К нам обратились представители республики К, точнее компании, специализирующейся на выпуске GPS-трекеров, используемых для отслеживания пожилых людей и детей. Эти устройства непосредственно затрагивают безопасность пожилых людей и детей, которые сами не смогут правильно их настроить, и мы решили обратиться к вашим специалистам, прежде чем разрешить их продажу в империи. Откровенно, Иоганн, я бы и сам купил такое устройство для своего пожилого отца. А то с возрастом он стал забывать, где он живет и куда идет...
— Сочувствую, господин канцлер! Если компания предоставит образцы для тестирования, то, думаю, нам хватит месяца, чтобы предоставить наши замечания и рекомендации. Если конечно, это потребуется.
— Отлично, я передам ваше предложение и думаю завтра они будут у вас.
— Добрый день, Карл! К нам завтра привезут образцы GPS-трекеров представители компании из республики К. Вы могли бы посмотреть, можем ли мы дать разрешение на ввоз этих устройств в империю?
— Безусловно! Сделаю.
Прошел месяц.
— Иоганн, по поводу GPS-трекеров. В них по умолчанию установлен пароль «123456». Во всех. Фактически это приводит к тому, что злоумышленники могут использовать этот пароль для взлома учетных записей пользователей, а затем подслушивать разговоры рядом с GPS-трекером, подделывать его реальное местоположение или получить номер телефона на установленной SIM-карте для отслеживания по каналам GSM.
— Ого! Много таких моделей?
— Проблема была обнаружена в более 30 моделях GPS-трекеров, изготовленных данным производителем IoT-устройств. Для всех используется одна и та же серверная инфраструктура, которая состоит из облачного сервера, веб-панели для мониторинга местоположения трекера через браузер и мобильного приложения, которое также подключается к облачному серверу.
Нам удалось выяснить, что идентификаторы пользователей основываются IMEI GPS-трекера и являются последовательными. Злоумышленник может запускать автоматические атаки на облачный сервер, просматривать все идентификаторы пользователя один за другим, использовать один и тот же пароль «123456» и перехватывать учетные записи пользователей.
— Пользователи могут изменить дефолтный пароль после первого входа в учетную запись?
— Да. Но кто это делает? В аналогичном исследовании во время сканирования около 4 млн. идентификаторов пользователей специалисты обнаружили свыше 600 тыс. учетных записей с паролем «123456».
— Что говорят представители компании?
— Они заявляют, что в документации на первой же странице написано, что необходимо сменить пароль. Мы также рекомендуем пользователям сменить пароли как можно скорее. А в целом к изделию замечаний нет.
А вы меняете заводские пароли, установленные на ваших гаджетах?
|
Меняем, меняем и ... забываем :-(
__________________
Бритва Хэнлона: Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью.
(англ. Hanlon's Razor «Never attribute to malice that which can be adequately explained by stupidity»).
|
Линейный вид
