พบอุปกรณ์ GPS Tracker หลายแสนตัวใช้ Default Password อ่อนแอ ‘123456’

ผู้เชี่ยวชาญจาก Avast ได้ออกมาเปิดเผยถึงอุปกรณ์ GPS Tracker รุ่น T8 Mini (พบได้ทั่วไปใน Lazada ที่โฆษณาว่าใช้ติดตามเด็ก สัตว์เลี้ยง หรือรถยนต์) โดยผู้ผลิตจีนที่ชื่อ Shenzhen i365-Tech ได้เลือกใช้รหัสผ่าน Default สุดง่ายคือ ‘123456’ ซึ่งมีอุปกรณ์กว่า 600,000 ตัวยังไม่ได้เปลี่ยนรหัสผ่าน

ประเด็นคือนักวิจัยได้ค้นพบว่า GPS Tracker T8 Mini จากผู้ผลิตที่ชื่อ Shenzhen i365-Tech ใช้รหัสผ่าน Default ง่ายมากๆ คือ ‘123456’ นอกจากนี้ยังกระทบไปถึงโมเดล GPS Tracker อื่นๆ กว่า 30 รุ่นจากผู้ผลิตรายนี้ ที่แย่กว่านั้นคือมีบางส่วนถูก OEM ไปจำหน่ายต่อในแบรนด์อื่นๆ ด้วย

โดยโครงสร้างการใช้งานของ GPS Tracker นั้นเป็นไปตามภาพประกอบด้านบนคือใช้เซิร์ฟเวอร์บน Cloud เพื่อบริหารจัดการการใช้งานในทุกช่องทาง ซึ่งอาศัยเพียงแค่ USER ID หรือ IMEI (Internet Mobile Equipment Identity) และรหัสผ่านเท่านั้น นั่นหมายว่าคนร้ายก็แค่ไล่ล็อกอิน USER ID กับรหัสผ่าน 123456 เพื่อขโมยบัญชีและทำให้สามารถปลอมแปลงพิกัดหรือสอดแนมผู้ใช้งานได้ ไม่เพียงเท่านั้นนักวิจัยยังชี้ว่าบัญชีบน Cloud ถูกสร้างขึ้นพร้อมกับการผลิตซึ่งทำให้คนร้ายสามารถ Hijack บัญชีได้ตั้งแต่ก่อนของออกสู่ตลาดอีกด้วย

ปัจจุบัน Avast ได้วิเคราะห์อุปกรณ์เพียง 4 ล้านบัญชีที่พบกว่า 600,000 บัญชียังใช้ Default Password จึงคาดว่าจำนวนของผู้ได้รับผลกระทบน่าจะสูงกว่านั้น ดังนั้นผู้ใช้งานควรรีบเข้าไปเปลี่ยนรหัสผ่านกันโดยเร็วครับ นอกจากนี้ผู้เชี่ยวญชาญยังไม่สามารถติดต่อ Shenzhen i365-Tech ได้เลย สามารถติดตามเนื้อหาเพิ่มเติมได้ที่บล็อกของ Avast

ที่มา :  https://www.zdnet.com/article/600000-gps-trackers-left-exposed-online-with-a-default-password-of-123456/