GPS zariadenia čínskeho výrobcu ohrozujú dáta vyše pol milióna detí

GPS zariadenia čínskeho výrobcu ohrozujú dáta vyše pol milióna detí

Lokalizátor používaný rodičmi na určovanie polohy ich detí posiela dáta v nešifrovanej podobe. 

Analytici Avastu objavili vážne bezpečnostné diery v troch desiatkach modeloch firmy Shenzhen i365-Tech, ktorá sa zaoberá výrobou GPS lokátorov.

Problémom je aplikácia, ktorú zariadenia používajú. Všetky nimiňou zaznamenané dáta totiž posiela na server poskytovateľa cloudovej služby v nešifrovanej podobe. Aplikácia má okrem toho prednastavené heslo 123456, ktoré uľahčuje potenciálnemu útočníkovi získanie osobných dát používateľov. Dnešným bezpečnostným štandardom pritom je posielať dáta medzi klientom (aplikáciou zariadenia) a severom poskytovateľa služby v šifrovanej podobe napríklad pomocou bezpečnostného protokolu SSL.

Hoci Avast o zistených chybách výrobcu informoval, zatiaľ nedostal odpoveď. Bezpečnostná spoločnosť sa preto rozhodla o zraniteľnosti verejne informovať a neodporúča zariadenia používať. 

GPS lokalizátory a iné IoT zariadenia čínskych výrobcov sa často dostávajú na európsky alebo americký trh. Záujem o ne rastie pre ich nízku cenu. V Európskej únii však obzvlášť v prípade detí platia prísne pravidlá pri spracovaní a ochrany údajov fyzických osôb.

Ako ukazuje príklad Shenzhen i365-Tech, niektoré zariadenia dovezené z Číny tieto podmienky nespĺňajú

Detailná analýza je dostupná tu.

(MO)