Een beveiligingslek in een veelgebruikt platform voor gps-trackers gaf toegang tot miljoenen apparaten, waaronder gps-horloges voor dementiepatiënten en kinderen, zo stelt het Britse securitybedrijf Pen Test Partners dat het probleem ontdekte.
Het beveiligingslek kwam aan het licht nadat de onderzoekers een back-up van de broncode op de website van 3G Electronics aantroffen. SETracker bleek voor de server-to-server communicatie van een API met een hardcoded string gebruik te maken die in de broncode werd aangetroffen.
Er was verder geen andere authenticatie of autorisatie vereist om als vertrouwde server commando’s te versturen.
De broncode liet verder zien dat er 57 verschillende commando’s waren die naar een SETracker-server konden worden gestuurd. De onderzoekers ontdekten ook een commando waarbij het mogelijk is om een apparaat stilletjes te bellen en zo de gebruiker af te luisteren, zonder dat die dit doorheeft.
Naast de mogelijkheid om commando’s naar gps-apparaten te versturen vonden de onderzoekers in de broncode ook de MySQL-wachtwoorden van alle databases en inloggegevens voor Aliyun-buckets, de Alibaba tegenhanger van Amazon S3-buckets.
Eén van de buckets bevatte informatie van de gps-horloges voor kinderen, met zeer waarschijnlijk ook afbeeldingen van kinderen. De gps-horloges zijn namelijk vaak van een camera voorzien waarbij foto’s in de cloud worden opgeslagen. Verder bevatte …..
Lees verder bij de bron: privacynieuws.nl
Photo by cmpalmer 
