Een beveiligingslek in een veelgebruikt platform voor gps-trackers gaf toegang tot miljoenen apparaten, waaronder gps-horloges voor dementiepatiënten en kinderen, zo stelt het Britse securitybedrijf Pen Test Partners dat het probleem ontdekte.

Het beveiligingslek kwam aan het licht nadat de onderzoekers een back-up van de broncode op de website van 3G Electronics aantroffen. SETracker bleek voor de server-to-server communicatie van een API met een hardcoded string gebruik te maken die in de broncode werd aangetroffen. Er was verder geen andere authenticatie of autorisatie vereist om als vertrouwde server commando's te versturen.

De broncode liet verder zien dat er 57 verschillende commando's waren die naar een SETracker-server konden worden gestuurd. De onderzoekers ontdekten ook een commando waarbij het mogelijk is om een apparaat stilletjes te bellen en zo de gebruiker af te luisteren, zonder dat die dit doorheeft. 

Naast de mogelijkheid om commando's naar gps-apparaten te versturen vonden de onderzoekers in de broncode ook de MySQL-wachtwoorden van alle databases en inloggegevens voor Aliyun-buckets, de Alibaba tegenhanger van Amazon S3-buckets. Eén van de buckets bevatte informatie van de gps-horloges voor kinderen, met zeer waarschijnlijk ook afbeeldingen van kinderen. De gps-horloges zijn namelijk vaak van een camera voorzien waarbij foto's in de cloud worden opgeslagen. Verder bevatte de broncode root-inloggegevens voor verschillende diensten.

Pen Test Partners waarschuwde 3G Electronics op 22 januari, waarna het Chinese bedrijf op 12 februari reageerde. Op 18 februari was het probleem met de server-API verholpen. Op 20 mei waarschuwden de onderzoekers het bedrijf dat de broncode nog steeds online was te vinden. Negen dagen later meldde 3G Electronics dat het bestand was verwijderd en alle wachtwoorden waren gewijzigd.

Alles bij de bron; Security