Förbi. Paul Wagenseil

Kinesiskt tillverkad GPS-tracker för barn och äldre, som säljs under många namn, kan äventyras på distans med bara några sms.

UPPDATERAD med kommentar från Pebbell 2-distributören HoIP Telecom.

En allmänt såld tvåvägs mobiltelefon, panikknapp och GPS-spårningsenhet berättar för nära och kära var en äldre person eller ett barn kan hittas - och det kan berätta för alla andra också.

Många versioner av den drabbade enheten ser ut så här, men färg- och knapputskrift varierar. Kredit: Amazon
(Bildkredit: Många versioner av den drabbade enheten ser ut så här, men färg- och knapputskrift varierar. Kredit: Amazon)

Forskare vid Fidus informationssäkerhet i Cambridge, England, fann att enheten, tillverkad som en "vit etikett" -gadget i Kina och sedan ommärkt och säljs under minst nio olika namn i USA och Storbritannien, kan fjärrhandlas med om du bara skickar det SMS-textmeddelande kommandon.

Ett textmeddelande får enheten att hosta upp sin GPS-plats. En annan slår på mikrofonen för att avlyssna bäraren och hans eller hennes omgivningar. Ett tredje SMS-meddelande stänger av mobilmodemet och dödar gadgets avsedda funktioner. En fjärde raderar alla säkerhets-PIN-kod (krävs inte) som användaren har ställt in på enheten.

"Nu är dessa enheter ute i naturen, jag förväntar mig att det inte finns något sätt att applicera... uppdateringar, "en Fidus-forskare, identifierad av TechCrunch som Andrew Mabbit skrev i ett Fidus-bloggs inlägg. "Alla lokala myndigheter som levererar dessa enheter, eller arbetsgivare som använder dem för att skydda sin personal ska göra det vara medveten om integritets- och säkerhetsproblemen och bör antagligen byta till en annan enhet med säkerhet byggd från marken upp."

MER: Bästa GPS Kid Trackers

Angriparen skulle behöva veta enhetens telefonnummer, men Fidus-forskare använde en enhet som utfärdades som en del av en flotta av en lokal myndighet i Storbritannien De skickade ut 2500 sms-kommandon till telefonnummer i samma nummerintervall som den enhetens siffra. De fick svar från 175 GPS-trackers.

"Vi antog att vi skulle få några enheter att svara från fladdermusen", skrev Mabbit. "Vi hade hoppats att de flesta hade ställt in PIN-funktionen så att de inte skulle svara på vårt nummer. Tyvärr hade vi fel. "

PIN-funktionen, om den är inställd av användaren (som måste läsa instruktionerna för att ens veta om PIN-alternativet) kommer att förhindra de flesta av dessa textade kommandon - förutom kommandona RESET eller REBOOT. Och RESET-kommandot raderar PIN-koden. Det är inte riktigt rättvist att kalla dessa SMS-baserade attacker "hack" när de faktiskt är inbyggda funktioner.

Den droppformade enheten använder en 2G-cellulär signal med ett SIM-kort, men har ingen internetanslutning. Batteriet kommer att hålla i flera månader och det laddas när du släpper det i en praktisk dockningsstation. Den kan bäras som ett hängsmycke på en snodd, och det finns en stor panik-knapp, ofta stämplad "SOS", mitt i enheten.

Fidus sa att cirka 10 000 enheter av enheten har sålts i Storbritannien under olika namn: Pebbell 2; det oförglömliga personliga larmet och GPS-spåraren med fallvarning; OwnFone Footprint; Tracker Expert GPS Tracker Fail Alarm; SureSafeGO 24/7 Connect 'Anywhere' alarm; Ti-Voice TrackIt 24/7; och "många, många fler."

Vi tittade på den amerikanska Amazon-webbplatsen och hittade identiska prylar som såldes för mellan $ 62 och $ 329 som Sonew Real Time Tracking Fall Down Safety GPS Intercom Tracker; Guardian Locate Personal och Vehicle GPS 3G Tracker; och Dioche Real Time Tracking Fall Down Safety GPS Intercom Tracker.

Dessutom verkar SureSafe-företaget, som Fidus sa, säljer gadgeten i Storbritannien, vara baserat i New Jersey, men dess "Anywhere" -alarmversion av enheten verkar vara slut i lager.

Tyvärr, om du eller dina nära och kära redan använder någon av dessa enheter, blir det inte lätt att fixa.

"Allt de behövde göra var att skriva ut en unik kod på varje hänge och kräva att den skulle användas för att ändra konfigurationer," skrev Mabbit. Men, tillade han, "det är lätt att fixa nya enheter, men inte så mycket en enhet som redan är i naturen."

UPPDATERING: HoIP Telecom, som distribuerar Pebbell 2, kontaktade Toms guide för att förklara att dess enheter inte är det sårbara för denna brist, eftersom meddelanden som skickas till enheterna hanteras på servrarna snarare än på enheter. Fidus Information Security har uppdaterat sin egen rapport för att återspegla det.

  • De mest (och minst) säkra fitnessspårarna

Få omedelbar tillgång till nyheter, de hetaste recensionerna, bra erbjudanden och hjälpsamma tips.

Tack för att du registrerade dig i Toms guide. Du kommer att få ett verifieringsmeddelande inom kort.

Det var ett problem. Uppdatera sidan och försök igen.

Ingen skräppost, vi lovar. Du kan när som helst avsluta prenumerationen så kommer vi aldrig att dela dina uppgifter utan ditt tillstånd.