in ,

Beveiligingslek in gps-trackerplatform: toegang tot miljoenen apparaten en ‘geheime’ afluisterfunctie

Photo by cmpalmer

Een in een veelgebruikt platform voor gps-trackers gaf toegang tot miljoenen apparaten, waaronder gps-horloges voor dementiepatiënten en kinderen, zo stelt het Britse securitybedrijf Pen Test Partners dat het probleem ontdekte.

Het beveiligingslek kwam aan het licht nadat de onderzoekers een back-up van de broncode op de website van 3G Electronics aantroffen. SETracker bleek voor de server-to-server communicatie van een API met een hardcoded string gebruik te maken die in de broncode werd aangetroffen.

Er was verder geen andere authenticatie of autorisatie vereist om als vertrouwde server commando’s te versturen.

De broncode liet verder zien dat er 57 verschillende commando’s waren die naar een SETracker-server konden worden gestuurd. De onderzoekers ontdekten ook een commando waarbij het mogelijk is om een apparaat stilletjes te bellen en zo de gebruiker af te luisteren, zonder dat die dit doorheeft.

Naast de mogelijkheid om commando’s naar gps-apparaten te versturen vonden de onderzoekers in de broncode ook de MySQL-wachtwoorden van alle databases en inloggegevens voor Aliyun-buckets, de Alibaba tegenhanger van Amazon S3-buckets.

Eén van de buckets bevatte informatie van de gps-horloges voor kinderen, met zeer waarschijnlijk ook afbeeldingen van kinderen. De gps-horloges zijn namelijk vaak van een voorzien waarbij foto’s in de cloud worden opgeslagen. Verder bevatte …..

Lees verder bij de bron: privacynieuws.nl

Photo by cmpalmer


JDreport.com publiceert verhalen uit een flink aantal andere "onafhankelijke" nieuwsbronnen.
De meningen in dit artikel zijn van de bron en weerspiegelen niet JDreport.com.

Help mee JDreport.com online te houden

Check de JDreport app in de Google PlayStore

Rapporteren

0 0 stem
Artikelbeoordeling
Abonneer
Laat het weten als er
0 Reacties
Inline feedbacks
Bekijk alle reacties

Kankerverwekkende stof ontdekt in paracetamol

10 oorlogen die nu kunnen ontbranden