Alguns modelos afetados que foram encontrados na análise

A Avast encontrou uma falha em 30 sensores de GPS vendidos pela empresa Shenzen 365. De acordo com publicação no blog da empresa, a brecha atinge mais de 600 mil dispositivos de rastreamento por GPS, como relógios e pulseiras para crianças, idosos, animais e até empresas de seguros no mundo todo. Apenas o modelo T8 Mini possui mais de 60 mil rastreadores ativos no mundo.

Os vestíveis tinham problemas como: senha padrão para acesso no cadastro “123456”; site inseguro sem padrão HTTPS para o cadastro; acesso fácil ao cadastro adivinhando o IMEI; e transmissão de mensagem de texto sem criptografia.

Além da falha nos dispositivos, 50 aplicativos de gestão dos dispositivos móveis usam a mesma plataforma e sem criptografia. É o caso do app AIBEILE (Android, iOS).

Com esse conjunto de brechas, um hacker pode: ligar para um número de telefone; enviar mensagens por SMS; usar o SMS para controlar o dispositivo ou falsificar informações em nuvem; e até implantar um backdoor via novo firmware.

A Shenzen 365 não respondeu à Avast sobre os problemas.

Confira abaixo a tabela com o nome dos dispositivos afetados (dentro de uma amostra de 1 milhão de equipamentos analisados):

Quantidade de rastreadores Modelos de rastreadores
60.601 T58
36.658 A9
26.654 T8S
20.778 T28
20.640 TQ
11.480 A16
10.263 A6
9.121 3G
7.452 A18
5.092 A21
4.083 T28A
3.626 A12
2.921 A19
2.839 A20
2.638 A20S
2.610 S1
1.664 P1
749 FA23
607 A107
280 RomboGPS
79 PM01
55 A21P
26 PM02
16 A16X
15 PM03
4 WA3
4 P1-S
3 S6
1 S9