Non cessa il pericolo di un’altra Mirai, vista la presenza di un numero ancora consistente di IoT con misure di sicurezza troppo deboli
Un produttore cinese di dispositivi di localizzazione GPS economici per animali domestici, automobili, bambini e anziani ne ha combinata una grossa. Il mini tracker GPS T8 i365-Tech viene venduto con una password di accesso admin di default, «123456», uguale per ogni modello, tale da mettere in serie pericolo i consumatori che decidono di acquistare un simile localizzatore. Dopo aver riscontrato questa debolezza, i ricercatori di Avast hanno scoperto che lo stesso problema riguardava più di 30 modelli di tracker GPS nel catalogo dell’azienda, spesso venduti come prodotti di altri marchi.
Ognuno degli esemplari richiede agli utenti di accedere tramite un pannello web o un’app mobile per verificare la posizione del dispositivo, con la password che serve per entrare nel server cloud dedicato. Ma non solo: un sistema ID utente facilmente indovinabile, basato sul numero IMEI sequenziale di ciascun device, completa il quadro della situazione.
Cosa succede
E se gli utenti possono cambiare la password da soli dopo la configurazione, un numero preoccupante opta sempre più per lasciare la stringa come valore predefinito. Avast ha scansionato quattro milioni di dispositivi e ne ha trovati oltre 600 mila impostati con «123456». Probabilmente il numero effettivo sarà più alto, poiché Avast ha limitato la sua ricerca a quattro milioni ma sarebbe potuta andare decisamente oltre.
La notizia è ovviamente un duro colpo per Shenzhen i365-Tech, che ha rischiato davvero grosso, anche a livello economico. Per i ricercatori, i numeri e le password dell’IMEI sono così prevedibili che un terzo potrebbe, in ogni momento, prendere il controllo dell’hardware prima che venga venduto e cambiato di password, magari per bloccarlo e renderlo inutilizzabile una volta spedito.