Por. Paul Wagenseil

El rastreador GPS de fabricación china para niños y ancianos, vendido con muchos nombres, puede verse comprometido de forma remota con solo unos pocos mensajes de texto.

ACTUALIZADO con comentarios del distribuidor de Pebbell 2, HoIP Telecom.

Un intercomunicador celular bidireccional, un botón de pánico y un dispositivo de rastreo GPS ampliamente vendidos le dicen a los seres queridos dónde se puede encontrar a una persona mayor o un niño, y también puede decirle a todos los demás.

Muchas versiones del dispositivo afectado tienen este aspecto, pero el color y la impresión de los botones varían. Crédito: Amazon
(Crédito de la imagen: muchas versiones del dispositivo afectado se ven así, pero el color y la impresión de los botones varían. Crédito: Amazon)

Investigadores de Fidus Information Security en Cambridge, Inglaterra, encontraron que el dispositivo, fabricado como un dispositivo de "marca blanca" en China y luego renombrado y vendido bajo al menos nueve nombres diferentes en los EE. UU. y el Reino Unido, se puede manipular de forma remota si simplemente envía un mensaje de texto comandos.

Un comando enviado por mensaje de texto hace que el dispositivo muestre su ubicación GPS. Otro enciende el micrófono para escuchar a escondidas al usuario y su entorno. Un tercer mensaje SMS apaga el módem celular, eliminando las funciones previstas del dispositivo. Un cuarto borra cualquier PIN de seguridad (no requerido) que el usuario haya configurado en el dispositivo.

"Ahora que estos dispositivos están disponibles, espero que no haya forma de solicitarlos... actualizaciones ", un investigador de Fidus, identificado por TechCrunch como Andrew Mabbit, escribió en una publicación en el blog de la empresa Fidus. "Cualquier autoridad local que suministre estos dispositivos, o empleadores que los utilicen para mantener segura a su fuerza laboral, deben ser consciente de los problemas de privacidad y seguridad y probablemente debería cambiar a otro dispositivo con seguridad construida desde el suelo arriba."

MÁS: Los mejores rastreadores GPS para niños

El atacante necesitaría saber el número de teléfono del dispositivo, pero los investigadores de Fidus utilizaron un dispositivo emitido como parte de una flota por un local. agencia gubernamental en el Reino Unido Enviaron 2500 comandos de mensajes de texto a números de teléfono en el mismo rango de números que el dispositivo número. Obtuvieron respuestas de 175 rastreadores GPS.

"Asumimos que obtendríamos algunos dispositivos para responder desde el principio", escribió Mabbit. "Esperábamos que la mayoría de la gente hubiera configurado la función de PIN para que no respondieran a nuestro número. Desafortunadamente, nos equivocamos ".

La función PIN, si la configura el usuario (que tiene que leer las instrucciones para saber siquiera sobre la opción PIN) frustrará la mayoría de estos comandos enviados por mensaje de texto, excepto los comandos RESET o REBOOT. Y el comando RESET borrará el PIN. No es justo llamar "hacks" a estos ataques basados ​​en SMS cuando en realidad son funciones integradas.

El dispositivo en forma de lágrima usa una señal celular 2G con una tarjeta SIM, pero no tiene conectividad a Internet. Su batería durará meses y se recarga cuando la coloca en una práctica estación de acoplamiento. Se puede usar como un colgante en un cordón, y hay un gran botón de pánico, a menudo estampado "SOS", justo en el medio del dispositivo.

Fidus dijo que alrededor de 10,000 unidades del dispositivo se han vendido en el Reino Unido con varios nombres: Pebbell 2; la inolvidable alarma personal y rastreador GPS con alerta de caída; la Huella OwnFone; la alarma de falla del rastreador GPS Tracker Expert; la alarma SureSafeGO 24/7 Connect "Anywhere"; el Ti-Voice TrackIt 24/7; y muchos muchos mas."

Echamos un vistazo al sitio de Amazon en EE. UU. Y encontramos dispositivos de apariencia idéntica vendidos por entre $ 62 y $ 329 como el rastreador de intercomunicador GPS de seguridad de caída en tiempo real de Sonew; el rastreador GPS 3G personal y para vehículos Guardian Locate; y el rastreador de intercomunicador GPS de seguridad de caída de seguimiento en tiempo real Dioche.

Además, la compañía SureSafe, que según Fidus vende el dispositivo en el Reino Unido, parece tener su sede en Nueva Jersey, pero su versión de alarma "Anywhere" del dispositivo parece no estar disponible.

Desafortunadamente, si usted o sus seres queridos ya utilizan uno de estos dispositivos, no será fácil de solucionar.

"Todo lo que tenían que hacer era imprimir un código único en cada colgante y requerir que se usara para cambiar las configuraciones", escribió Mabbit. Pero, agregó, "es fácil reparar nuevos dispositivos, pero no tanto un dispositivo que ya está en la naturaleza".

ACTUALIZAR: HoIP Telecom, que distribuye Pebbell 2, se acercó a Tom's Guide para explicar que sus dispositivos no son vulnerable a esta falla, ya que los mensajes enviados a los dispositivos se administran en los servidores en lugar de en el dispositivos. Fidus Information Security ha actualizado su propio informe para reflejar eso.

  • Los rastreadores de actividad más (y menos) seguros

Obtenga acceso instantáneo a noticias de última hora, las mejores críticas, grandes ofertas y consejos útiles.

Gracias por registrarse en Tom's Guide. Recibirá un correo electrónico de verificación en breve.

Había un problema. Actualice la página y vuelva a intentarlo.

Sin spam, lo prometemos. Puede darse de baja en cualquier momento y nunca compartiremos sus datos sin su permiso.