某中國公司生產的超60萬GPS跟蹤器存在漏洞,可暴露使用者實時位置

Editor發表於2019-09-06
某中國公司生產的超60萬GPS跟蹤器存在漏洞,可暴露使用者實時位置


GPS追蹤器的發明是為了讓使用者更加安心。

它能夠簡單迅速地找到您的孩子、你的寵物、甚至是您的汽車。

然而目前一些位於低端市場的GPS追蹤器,並不能讓人高枕無憂,反而會引起噩夢。 

T8 Mini 遭駭客攻擊


GPS跟蹤器的大量生產和銷售是為了保護兒童、老人、寵物的安全,但他們帶來的漏洞也正在暴露受害者的資料。

據外媒報導,600,000臺GPS追蹤器的賬戶被駭客劫持,駭客可獲取使用者的實時位置並進行攻擊。


這批裝置是深圳市i365-Tech有限公司生產的T8 Mini。i365-Tech是一家專業開發和生產GPS跟蹤器、主要產品有迷你GPS追蹤器和兒童GPS手錶追蹤器。

某中國公司生產的超60萬GPS跟蹤器存在漏洞,可暴露使用者實時位置
圖片來源:Avast    GPS跟蹤器的典型配置和架構

同一個供應商生產的GPS裝置共享相同的後端基礎設施,包括GPS跟蹤器報告的雲伺服器,但是i365-Tech的後臺基礎設施充滿了漏洞,這也給了駭客可趁之機。

首先,跟蹤器的所有通訊都是未加密的,資料透過HTTP以純文字形式傳送,容易將其暴露給駭客攻擊。

其次,最大的問題是大多數使用者直接使用預設密碼“123456”而沒有進行修改。這對於使用者而言本身就是危險的事,對於駭客而言則是攻擊的良機。

駭客可以利用這個密碼劫持使用者的帳戶,輕鬆訪問所有賬戶,以便能夠鎖定裝置佩戴者的實時GPS座標。

此外,GPS裝置上有攝像頭和麥克風,其原本的作用是為了方便兒童或老年人在危機時向家庭成員或警局發出SOS呼叫,但這一功能卻成為駭客監視使用者的手段。

駭客能夠監聽GPS跟蹤器附近的對話,或者透過GPS追蹤器上的SIM卡電話號碼,獲取更多資料資訊。


選擇GPS裝置要謹慎


這次受影響的30多種型號均由i365-Tech製造,有些甚至帶有其他公司的標識,以白標產品的形式出售。

某中國公司生產的超60萬GPS跟蹤器存在漏洞,可暴露使用者實時位置
圖片來源:Avast 

一般來說,雲服務的賬戶是在GPS追蹤器製造出來後立即建立的,對於深圳i365-Tech公司而言,惡意競爭對手可能會在這些GPS裝置銷售之前劫持賬戶並獲取密碼,從而有效鎖定賬戶,在其未來銷售之路上製造客戶問題。

等到這些被劫持的使用者發現漏洞為時已晚了。

目前深圳i365-Tech公司並未就此事做出回應。那麼對i365-Tech公司生產的GPS追蹤器型號的使用者來說,應該儘快更改預設的賬戶密碼或者停止使用。

需要提醒大家的是,大多數的兒童智慧追蹤手錶都充滿了各種安全漏洞,向遠端駭客暴露了他們的具體位置,容易受到潛在的攻擊。

因此在選擇GPS裝置時要小心謹慎,儘量選擇安全係數高的裝置,而不是這些名義上保護實則會帶來虛假的安全感的冒牌智慧裝置。


*本文由看雪編輯LYA編譯自 Bleeping Computer、ZDNet,轉載請註明來源及作者。

相關文章