Experten warnen die Verbraucher vor Schwachstellen, die 30 Modelle von Ortungsgerten betreffen und ein erhebliches IoT-Risiko darstellen

05. September 2019 - Avast [LSE: AVST], ein weltweit fhrender Anbieter von digitalen Sicherheitsprodukten, hat schwerwiegende Sicherheitslcken im T8 Mini GPS Tracker und knapp 30 weiteren Modellen desselben Herstellers, Shenzhen i365 Tech, entdeckt. Diese Gerte versprechen Kinder, Senioren, Haustiere und Besitztmer zu beschtzen. Doch stattdessen lassen sich alle Daten, die an die Cloud gesendet werden, einschlielich genauer Echtzeit-GPS-Koordinaten, einfach einsehen. Darber hinaus knnen es Konstruktionsfehler unerwnschten Dritten ermglichen, den Standort herauszufinden oder auf das Mikrofon zuzugreifen, um heimlich Gesprche mitzuhren. Avast-Threat-Labs-Experten schtzen, dass weltweit 600.000 unsichere Tracker im Einsatz sind, und weisen in diesem Zusammenhang darauf hin, dass diese IoT-Sicherheitsprobleme weit ber den Rahmen eines einzigen Herstellers hinausgehen. Shenzhen i365 Techs Technologie ist als Whitelabel-Lsung verfgbar und daher in diversen Produkten auf dem Markt integriert, wie beispielsweise im „LNLZYF Intelligentes Armband mit OLED-Bildschirm T58“ in Deutschland.

Martin Hron, Senior Researcher bei Avast, der dieses Projekt geleitet hat, empfiehlt Kufern, sich fr eine Alternative einer namhaften Marke zu entscheiden, die Sicherheit in das Produktdesign integriert hat. „Wie bei jedem handelsblichen Gert empfehlen wir, die standardmigen Admin-Passwrter in etwas Komplexeres zu ndern; in diesem Fall wird jedoch selbst das eine motivierte Person nicht davon abhalten, den unverschlsselten Datenverkehr abzufangen. Wir haben unsere Sorgfaltspflicht bei der Offenlegung dieser Schwachstellen gegenber dem Hersteller erfllt, aber da wir nach Ablauf der blichen Frist keine Rckmeldung erhalten haben, geben wir diese Mitteilung jetzt heraus und raten den Verbrauchern dringend, die betroffenen Gerte nicht mehr zu verwenden”, sagte Hron.

Das Avast Threat Labs analysierte zunchst die Inbetriebnahme des T8 Mini und folgte dabei den Anweisungen zum Herunterladen der mobilen App von http://en.i365gps.com – einer Website, die ber das HTTP-Protokoll statt ber das abgesicherte HTTPS-Protokoll betrieben wird. Benutzer knnen sich dann mit ihrer zugewiesenen ID-Nummer und dem sehr allgemeinen Standardpasswort „123456” bei ihrem Konto anmelden. Auch diese Informationen werden ber das unsichere HTTP-Protokoll bertragen.

Die ID-Nummer wird von der International Mobile Equipment Identity (IMEI) des Gerts abgeleitet, sodass es fr die Experten einfach war, mgliche ID-Nummern anderer Tracker dieses Herstellers vorherzusagen und aufzuzhlen. In Kombination mit dem festen Passwort knnte praktisch jedes Gert, das dieser Sequenz von IMEI-Nummern folgt, mit geringem Aufwand gehackt werden.

Mit einem einfachen Lookup-Werkzeug entdeckten die Sicherheitsforscher, dass alle Anfragen, die von der Webanwendung des Trackers stammen, im unverschlsselten Klartext bertragen werden. Noch wichtiger ist, dass das Gert Befehle ausgeben kann, die ber die beabsichtigte Verwendung von GPS-Tracking hinausgehen. So kann das Gert beispielsweise


  • eine Telefonnummer anrufen, damit ein Dritter ber das Mikrofon des Trackers lauschen kann,
  • eine SMS-Nachricht senden, die verwendet werden kann, um die Telefonnummer des Gerts zu identifizieren und eingehende SMS-Nachrichten als Angriffsvektor zu verwenden,
  • SMS nutzen, um die Kommunikation von dem Gert zu einem alternativen Server umzuleiten, um volle Kontrolle ber das Gert zu erhalten oder Informationen, die an die Cloud geschickt werden, zu manipulieren und
  • eine URL an den Tracker weitergeben, sodass ein Angreifer per Fernzugriff eine neue Firmware auf dem Gert platzieren kann, ohne dieses berhaupt zu berhren. Dadurch lsst sich die Funktionalitt des Gerts komplett verndern oder eine Hintertr zur Spionage einbauen.


Zudem kommuniziert die begleitende mobile App AIBEILE (sowohl bei Google Play als auch beim iOS App Store erhltlich) auch ber einen nicht standardisierten HTTP-Port, TCP:8018, mit der Cloud und sendet unverschlsselten Klartext an einen Endpunkt. Nachdem die Sicherheitsforscher das Gert selbst zerlegten, um zu analysieren, wie es mit der Cloud kommuniziert, besttigten sie, dass die Daten erneut unverschlsselt und ohne jegliche Berechtigung vom GSM-Netz zum Server bertragen werden.

Zustzlich zu diesem Gert, das im Mittelpunkt der Untersuchung stand, hat Avast 29 weitere Modelle von GPS-Trackern identifiziert, die diese Sicherheitsschwachstellen aufweisen – die meisten davon stammen von dem bereits genannten Anbieter – sowie 50 verschiedene mobile Anwendungen, die dieselbe unverschlsselte Plattform nutzen, die oben erlutert wurde. Die Sicherheitsexperten schtzen, dass mehr als 600.000 Gerte mit standardmigen „123456”-Passwrtern im Umlauf sind und die mobilen Apps mehr als 500.000 Downloads haben. Der Hersteller hat auch auf mehrmalige Benachrichtigungen, die auf den Fehler hinweisen, bislang nicht reagiert.

Leena Elias, Head of mobile delivery bei Avast, fordert die ffentlichkeit auf, Vorsicht walten zu lassen, wenn sie billige oder Imitate von Smart Devices kaufen. „Als Eltern neigen wir dazu, Technik zu nutzen, die hilft, unsere Kinder zu beschtzen, aber wir mssen ber die Produkte, die wir kaufen, informiert sein”, sagte sie. „Verbraucher sollten sich vor Herstellern hten, die nicht einmal die Mindestsicherheitsstandards erfllen und keine Drittzertifizierungen haben. Stattdessen sollten sie auf Markenprodukte renommierter Hersteller vertrauen, auch wenn diese teurer sind.”
Eine detaillierte Analyse der Sicherheitsmngel im T8 Mini GPS-Tracker enthlt der ergnzende Blog-Beitrag.