Ars Technica riferisce che circa seicentomila dispositivi di tracciamento GPS, utilizzati per il monitoraggio della localizzazione di bambini, anziani e animali domestici sono su Internet con una password assolutamente banale: 123456. Che è quella predefinita in fabbrica.

Si tratta di dispositivi a basso costo (da 2 a 50 dollari), molto compatti, in vendita nei grandi negozi online sotto vari nomi, come T8 Mini GPS Tracker Locator, e tutti fabbricati dalla Shenzhen i365 Tech.

I dispositivi trasmettono tutti i dati senza alcuna cifratura, e così i ricercatori di Avast Threat Labs hanno scoperto che chiunque si trovi sulla stessa rete usata dallo smartphone e dall'app Web utilizzati per gestire questi tracciatori può intercettarne il traffico di informazioni e anche modificarlo, per esempio mandando un messaggio ingannevole allo smartphone oppure cambiando le coordinate geografiche segnalate dal dispositivo.

Spunti di approfondimento:

Il Bluetooth, l'app Immuni e il GDPR

USA, la tempesta solare ferma i trattori

iOS, un bug vanifica le impostazioni di Controllo Genitori

Localizzazione al chiuso grazie al 5G

I ricercatori hanno scoperto che grazie alla progettazione poco attenta è anche possibile fare in modo che il tracciatore chiami un numero di telefono scelto dall'aggressore e gli trasmetta qualunque audio sia a portata del microfono incorporato nel dispositivo. Ed è solo l'inizio, perché poi si possono effettuare attacchi man in the middle e altre cose simpatiche di questo genere.

In altre parole, un dispositivo che si compra per proteggere qualcuno in realtà lo rende più vulnerabile.

L'azienda è stata allertata, ma finora non ha risposto, per cui i ricercatori hanno deciso di pubblicare la scoperta facendo il nome del prodotto in modo da dare a chi lo usa la possibilità di informarsi. L'unico rimedio, purtroppo, è smettere di usarlo.