Lokalizátor používaný rodičmi na určovanie polohy ich detí posiela dáta v nešifrovanej podobe.
Analytici Avastu objavili vážne bezpečnostné diery v troch desiatkach modeloch firmy Shenzhen i365-Tech, ktorá sa zaoberá výrobou GPS lokátorov.
Problémom je aplikácia, ktorú zariadenia používajú. Všetky nimiňou zaznamenané dáta totiž posiela na server poskytovateľa cloudovej služby v nešifrovanej podobe. Aplikácia má okrem toho prednastavené heslo 123456, ktoré uľahčuje potenciálnemu útočníkovi získanie osobných dát používateľov. Dnešným bezpečnostným štandardom pritom je posielať dáta medzi klientom (aplikáciou zariadenia) a severom poskytovateľa služby v šifrovanej podobe napríklad pomocou bezpečnostného protokolu SSL.
Hoci Avast o zistených chybách výrobcu informoval, zatiaľ nedostal odpoveď. Bezpečnostná spoločnosť sa preto rozhodla o zraniteľnosti verejne informovať a neodporúča zariadenia používať.
GPS lokalizátory a iné IoT zariadenia čínskych výrobcov sa často dostávajú na európsky alebo americký trh. Záujem o ne rastie pre ich nízku cenu. V Európskej únii však obzvlášť v prípade detí platia prísne pravidlá pri spracovaní a ochrany údajov fyzických osôb.
Ako ukazuje príklad Shenzhen i365-Tech, niektoré zariadenia dovezené z Číny tieto podmienky nespĺňajú
Detailná analýza je dostupná tu.
(MO)