600.000 GPS utilisant le même mot de passe �123456� vulnérables à un piratage

Conserver les mots de passe d’usine d’un appareil connecté n’est jamais une bonne idée. Encore moins lorsque le sésame en question est d’une simplicité déconcertante et qu’il est répliqué sur plusieurs centaines de milliers d’équipements. C’est ce qu’a découvert Avast sur des traqueurs GPS fabriqués par le chinois i365-Tech dont au moins 600 000 exemplaires utilisent le même mot de passe “123456”. Des pirates pourraient facilement abuser de ce mot de passe pour prendre le contrôle des comptes utilisateurs afin d’espionner les conversations à proximité du tracker GPS, usurper son emplacement réel ou encore obtenir le numéro de téléphone de la carte SIM.

Le problème persiste… 

Le traqueur en question, le T8 Mini, est utilisé pour suivre les animaux domestiques, des personnes âgées, des enfants, des voitures ou d’autres objets de valeur. Mais Avast a découvert que ce défaut de sécurité affectait plus de 30 autres modèles de trackers GPS, tous fabriqués par le même fournisseur, certains étant vendus en marque blanche. 

Tous les modèles utilisaient la même infrastructure à savoir un serveur cloud auquel le GPS se connectait, une interface web pour les utilisateurs et une application mobile connectée au serveur. Problème, les identifiants utilisateurs étaient basés sur le code IMEI du traqueur et étaient en prime séquentiels, sécurisés par un mot de passe basique 12356. Pour un pirate, découvrir ces sésames serait un jeu d’enfant via une attaque automatisée. Selon nos confrères de ZDNet.com, le problème persiste, i365-Tech n’ayant pas répondu aux demandes Cnet.com ni à celles d’Avast. (Eureka Presse)