据安全研究人员称,亚马逊和其他大型在线商家以低于25美元至50美元的价格出售的60万个GPS跟踪设备容易受到一些可能暴露用户实时位置的危险漏洞的攻击。
来自Avast的网络安全研究人员发现,由中国科技公司深圳i365制造的29种GPS跟踪器模型可以监控幼儿,老年亲属和宠物,这些模型存在许多安全漏洞。
此外,超过50万个跟踪设备都附带了相同的默认密码“123456”,让攻击者有机会轻松访问那些从未更改过默认密码的人的跟踪信息。
GPS跟踪设备中的漏洞
报告的GPS跟踪设备漏洞能够让远程攻击者做如下操作:
跟踪设备佩戴者的实时GPS坐标,伪造设备的位置数据以提供不准确的读数,访问设备的麦克风以进行窃听。
大多数发现的漏洞依赖于“GPS跟踪器和云”,“云服务器和设备的配套移动应用程序”、“用户和设备的基于Web的应用程序”之间的通信都使用未加密的纯文本HTTP协议,允许MITM攻击者拦截交换的数据并发出未经授权的命令。
“网络应用程序中的所有通信都通过HTTP传递。所有JSON请求都是未加密的,并且是纯文本的,”研究人员在详细报告中解释道。
“你可以让跟踪器拨打任意电话号码,一旦连接,你可以在他们不知情的情况下通过跟踪器听另一方。通信是基于文本的协议,最关心的是缺乏授权。整个事情只需通过其IMEI识别跟踪器即可。“
通过短信监视实时GPS定位
除此之外,研究人员还发现远程攻击者还可以通过向与SIM卡相关联的电话号码(插入设备)发送短信来获取目标设备的实时GPS坐标,该SIM卡为设备提供DATA + SMS功能。
虽然攻击者首先需要知道跟踪器的相关电话号码和密码才能进行此攻击,但研究人员表示,人们可以利用云/移动应用相关的漏洞来让跟踪器代表自己向任意电话号码发送短信,从而允许攻击者获取设备的电话号码。
现在,对于几乎所有设备,只要访问设备的电话号码和密码为“123456”,攻击者就可以将SMS用作攻击媒介。
研究人员对T8迷你GPS追踪器定位器的分析还发现,其用户被导向一个不安全的网站下载该设备的配套移动应用程序,从而暴露用户的信息。
超过五十万人使用受影响的GPS跟踪器
受影响的GPS跟踪器型号包括T58,A9,T8S,T28,TQ,A16,A6,3G,A18,A21,T28A,A12,A19,A20,A20S,S1,P1,FA23,A107,RomboGPS,PM01,A21P ,PM02,A16X,PM03,WA3,P1-S,S6和S9。
虽然这些GPS追踪器的制造商深圳i365位于中国,但Avast的分析发现这些GPS追踪器广泛应用于美国,欧洲,澳大利亚,南美洲和非洲。
研究人员称,该公司于6月24日私下向供应商通报了重要的安全漏洞。
讯诺科技公司主营业务:郑州讯诺科技从2002年开始致力于全球GPS卫星定位、车载视频监控、汽车GPS追踪器、车辆GPS管理系统产品个性化定制、销售服务为一体的位置服务公司。咨询电话:0371-55887191