GPSトラッカーは約2000円程度で購入出来て、PCや携帯からペットや子供の位置を把握出来る、今や一般的になってきた物だ。車はもちろん、自転車、時計などに搭載されていることもある。Avast Softwareは、市販されているGPSトラッカー約60万台が盗聴やスパイ、APT・GPSスプーフィング攻撃に対して脆弱であると発表した。
GPSトラッカーは、GPS信号を受信しクラウドで共有した上でアプリやブラウザに提供するといった簡単な作りになっている。
Avast Threat Labsは、GPSトラッカー上での処理プロセス、トラッカーとクラウド間のトラフィック、アプリケーションやクラウド間のトラフィックなどを分析するため、中国製の「T8 Mini」を購入。T8 Miniはキーリング程度の大きさで相互通信が可能だ。
Avast Threat Labsがウェブアプリにログインして位置情報を閲覧したところ暗号化通信が行われておらずデータを盗聴される可能性が非常に高いとのこと。
説明書には、デフォルトのログインIDはトラッカーの製造識別番号(IMEI)、デフォルトのパスワードは「123456」に設定されており、驚くべきことに「ユーザーIDにユーザーネームを登録するためには、購入した小売店に問い合わせる必要がある」と書かれており、小売店側も位置情報を覗き見ることが出来る。
デフォルトのパスワードを変更していない場合、悪意のある攻撃者によってトラッカーを簡単に乗っ取られる可能性があるとAvast Threat Labsは警告。この脆弱性によって、攻撃者はトラッカーの位置情報を盗聴するだけでなく、SOS機能を悪用して双方向通信機能を起動させ、攻撃者のデバイスから盗聴を行うことも可能だ
Avast Threat Labsはさらに、GPSトラッカーのIMEIが11桁であることを明らかにして「15桁の長さが必要」というIMEIの標準に則していないと報告した。さらにAvast Threat Labsが調査を重ねたところ、表示されるIMEIは本当のIMEIではなく、あくまでもIMEIを元に作られた偽のIDであることが判明した。
Avast Threat Labsは、現在確認出来るデバイスだけでも初期パスワードである「123456」で約60万台、稼働している。そして、少なくとも16万7000台はオンライン上で位置情報が検索可能だったと発表している。なお、同じシステムやAPIを利用していることから、この問題はT8 Miniに限らず約30種類の他のGPSトラッカーで確認できている。
これらに対してAvast Threat LabsはGPSトラッカーのベンダーに2019年6月に通知したが、2019年9月5日時点でどのベンダーからも返信がないようだ。