Onvio voert regelmatig in het kader van Responsible Disclosure onderzoeken uit. Uit dit onderzoek blijkt dat de beveiliging van GPS apparaten niet op orde is. 400.000 apparaten waren te volgen én af te luisteren.
Veel GPS apparaten worden verkocht door wederverkopers (o.a. Nederlandse), maar zijn gebouwd door een enkele Chinese fabrikant die ook de infrastructuur levert. Dit zijn bijvoorbeeld GPS horloges, waarmee de ouders realtime via een mobiele app locatie van hun kind kunnen volgen.
Naar aanleiding van dit onderzoek gaf slechts 1 van de 6 kwetsbare bedrijven een reactie en heeft het lek gedicht. Dit betreft het enige Nederlandse bedrijf. Er zijn nog zo’n 360.000 apparaten kwetsbaar bij de bedrijven die niet gereageerd hebben.
Wat kan een hacker
Door de lekken kan een kwaadwillende gebruikers van de apparaten uit dit onderzoek lopen diverse risico’s. Een kwaadwillende kan vanaf het internet (op afstand):
- Onopgemerkt afluisteren via de microfoon in het GPS horloge.
- De huidige GPS coördinaten en historie inzien.
- (SMS) berichten sturen naar het horloge.
- Instellingen wijzigingen, zoals het telefoonboek aanpassen.
- Persoonsgegevens inzien zoals email adres, voornaam en achternaam.
Het probleem
Alle GPS apparaten zijn voorzien van een 3G/4G simkaart waardoor het apparaat kan communiceren met een centrale backend server van de leverancier. Ook wordt er vaak een mobiele app meegeleverd, die naar dezelfde server communiceert.
We hebben een apparaat aangeschaft en het verkeer tussen de mobiele app en de server onderschept en geanalyseerd. Elk commando naar het GPS apparaat wordt uitgevoerd met behulp van een unieke authenticatiesleutel die is ingesteld per apparaat. Zo’n authenticatiesleutel kun je beschouwen als een wachtwoord.
Het was mogelijk om vanaf het internet alle authenticatie sleutels van alle gebruikers op te halen.
Hiermee kan een aanvaller op afstand commando’s sturen naar alle GPS apparaten.
Afluisteren van een GPS apparaat
Een anonieme aanvaller kan vanaf het internet de afluisterfunctie activeren.
Wanneer de afluisterfunctie wordt geactiveerd, zal het apparaat naar het meegestuurde 06 nummer bellen. Wanneer de telefoon wordt opgenomen, kan een aanvaller realtime via het GPS apparaat meeluisteren naar het achtergrondgeluid of gesprekken totdat het prepaid beltegoed op is.
Op het apparaat zelf is niet te zien dat er wordt afgeluisterd.
Kaart met kwetsbare apparaten
De volgende screenshot toont een kaart van Nederland met daarop alle GPS apparaten die tijdens het onderzoek afgeluisterd en gevolgd konden worden.
En een kaart van Europa:
Advies voor consumenten
Wees altijd kritisch bij het aankopen van GPS apparaten met microfoons en afluisterfuncties. Wees daarbij ook bewust van de risico’s. Helaas zijn er geen keurmerken op de markt die een mate van kwaliteit afdwingen op het gebied van beveiliging.
Zoek op het internet naar onafhankelijke onderzoeken naar het apparaat. Zo doet bijvoorbeeld de Consumentenbond regelmatig onderzoek naar de beveiliging van soortgelijke apparaten.
Advies voor bedrijven
Als je hardware en software niet zelf ontwikkelt maar als reseller doorverkoopt met aanpassingen, moeten er harde eisen gesteld worden op het gebied van beveiliging. Met name voor apparatuur vanuit China. De lat voor een goede beveiliging ligt hier vaak laag, blijkt uit de praktijk.
Daarnaast moet de beveiliging ook getoetst worden middels een onafhankelijk beveiligingsonderzoek. Dit kan door middel van een pentest door ethische hackers met als scope het apparaat zelf en achterliggende infrastructuur.