Experten warnen die Verbraucher vor Schwachstellen, die 30 Modelle von Ortungsgeräten betreffen und ein erhebliches IoT-Risiko darstellen

05. September 2019 - Avast [LSE: AVST], ein weltweit führender Anbieter von digitalen Sicherheitsprodukten, hat schwerwiegende Sicherheitslücken im T8 Mini GPS Tracker und knapp 30 weiteren Modellen desselben Herstellers, Shenzhen i365 Tech, entdeckt. Diese Geräte versprechen Kinder, Senioren, Haustiere und Besitztümer zu beschützen. Doch stattdessen lassen sich alle Daten, die an die Cloud gesendet werden, einschließlich genauer Echtzeit-GPS-Koordinaten, einfach einsehen. Darüber hinaus können es Konstruktionsfehler unerwünschten Dritten ermöglichen, den Standort herauszufinden oder auf das Mikrofon zuzugreifen, um heimlich Gespräche mitzuhören. Avast-Threat-Labs-Experten schätzen, dass weltweit 600.000 unsichere Tracker im Einsatz sind, und weisen in diesem Zusammenhang darauf hin, dass diese IoT-Sicherheitsprobleme weit über den Rahmen eines einzigen Herstellers hinausgehen. Shenzhen i365 Techs Technologie ist als Whitelabel-Lösung verfügbar und daher in diversen Produkten auf dem Markt integriert, wie beispielsweise im „LNLZYF Intelligentes Armband mit OLED-Bildschirm T58“ in Deutschland.

Martin Hron, Senior Researcher bei Avast, der dieses Projekt geleitet hat, empfiehlt Käufern, sich für eine Alternative einer namhaften Marke zu entscheiden, die Sicherheit in das Produktdesign integriert hat. „Wie bei jedem handelsüblichen Gerät empfehlen wir, die standardmäßigen Admin-Passwörter in etwas Komplexeres zu ändern; in diesem Fall wird jedoch selbst das eine motivierte Person nicht davon abhalten, den unverschlüsselten Datenverkehr abzufangen. Wir haben unsere Sorgfaltspflicht bei der Offenlegung dieser Schwachstellen gegenüber dem Hersteller erfüllt, aber da wir nach Ablauf der üblichen Frist keine Rückmeldung erhalten haben, geben wir diese Mitteilung jetzt heraus und raten den Verbrauchern dringend, die betroffenen Geräte nicht mehr zu verwenden”, sagte Hron.

Das Avast Threat Labs analysierte zunächst die Inbetriebnahme des T8 Mini und folgte dabei den Anweisungen zum Herunterladen der mobilen App von http://en.i365gps.com – einer Website, die über das HTTP-Protokoll statt über das abgesicherte HTTPS-Protokoll betrieben wird. Benutzer können sich dann mit ihrer zugewiesenen ID-Nummer und dem sehr allgemeinen Standardpasswort „123456” bei ihrem Konto anmelden. Auch diese Informationen werden über das unsichere HTTP-Protokoll übertragen.

Die ID-Nummer wird von der International Mobile Equipment Identity (IMEI) des Geräts abgeleitet, sodass es für die Experten einfach war, mögliche ID-Nummern anderer Tracker dieses Herstellers vorherzusagen und aufzuzählen. In Kombination mit dem festen Passwort könnte praktisch jedes Gerät, das dieser Sequenz von IMEI-Nummern folgt, mit geringem Aufwand gehackt werden.

Mit einem einfachen Lookup-Werkzeug entdeckten die Sicherheitsforscher, dass alle Anfragen, die von der Webanwendung des Trackers stammen, im unverschlüsselten Klartext übertragen werden. Noch wichtiger ist, dass das Gerät Befehle ausgeben kann, die über die beabsichtigte Verwendung von GPS-Tracking hinausgehen. So kann das Gerät beispielsweise


  • eine Telefonnummer anrufen, damit ein Dritter über das Mikrofon des Trackers lauschen kann,
  • eine SMS-Nachricht senden, die verwendet werden kann, um die Telefonnummer des Geräts zu identifizieren und eingehende SMS-Nachrichten als Angriffsvektor zu verwenden,
  • SMS nutzen, um die Kommunikation von dem Gerät zu einem alternativen Server umzuleiten, um volle Kontrolle über das Gerät zu erhalten oder Informationen, die an die Cloud geschickt werden, zu manipulieren und
  • eine URL an den Tracker weitergeben, sodass ein Angreifer per Fernzugriff eine neue Firmware auf dem Gerät platzieren kann, ohne dieses überhaupt zu berühren. Dadurch lässt sich die Funktionalität des Geräts komplett verändern oder eine Hintertür zur Spionage einbauen.


Zudem kommuniziert die begleitende mobile App AIBEILE (sowohl bei Google Play als auch beim iOS App Store erhältlich) auch über einen nicht standardisierten HTTP-Port, TCP:8018, mit der Cloud und sendet unverschlüsselten Klartext an einen Endpunkt. Nachdem die Sicherheitsforscher das Gerät selbst zerlegten, um zu analysieren, wie es mit der Cloud kommuniziert, bestätigten sie, dass die Daten erneut unverschlüsselt und ohne jegliche Berechtigung vom GSM-Netz zum Server übertragen werden.

Zusätzlich zu diesem Gerät, das im Mittelpunkt der Untersuchung stand, hat Avast 29 weitere Modelle von GPS-Trackern identifiziert, die diese Sicherheitsschwachstellen aufweisen – die meisten davon stammen von dem bereits genannten Anbieter – sowie 50 verschiedene mobile Anwendungen, die dieselbe unverschlüsselte Plattform nutzen, die oben erläutert wurde. Die Sicherheitsexperten schätzen, dass mehr als 600.000 Geräte mit standardmäßigen „123456”-Passwörtern im Umlauf sind und die mobilen Apps mehr als 500.000 Downloads haben. Der Hersteller hat auch auf mehrmalige Benachrichtigungen, die auf den Fehler hinweisen, bislang nicht reagiert.

Leena Elias, Head of mobile delivery bei Avast, fordert die Öffentlichkeit auf, Vorsicht walten zu lassen, wenn sie billige oder Imitate von Smart Devices kaufen. „Als Eltern neigen wir dazu, Technik zu nutzen, die hilft, unsere Kinder zu beschützen, aber wir müssen über die Produkte, die wir kaufen, informiert sein”, sagte sie. „Verbraucher sollten sich vor Herstellern hüten, die nicht einmal die Mindestsicherheitsstandards erfüllen und keine Drittzertifizierungen haben. Stattdessen sollten sie auf Markenprodukte renommierter Hersteller vertrauen, auch wenn diese teurer sind.”
Eine detaillierte Analyse der Sicherheitsmängel im T8 Mini GPS-Tracker enthält der ergänzende Blog-Beitrag.