某中国公司生产的超60万GPS跟踪器存在漏洞,可暴露用户实时位置

GPS追踪器的发明是为了让用户更加安心。

它能够简单迅速地找到您的孩子、你的宠物、甚至是您的汽车。

然而目前一些位于低端市场的GPS追踪器,并不能让人高枕无忧,反而会引起噩梦。 

T8 Mini 遭黑客攻击

GPS跟踪器的大量生产和销售是为了保护儿童、老人、宠物的安全,但他们带来的漏洞也正在暴露受害者的数据。

据外媒报道,600,000台GPS追踪器的账户被黑客劫持,黑客可获取用户的实时位置并进行攻击。

这批设备是深圳市i365-Tech有限公司生产的T8 Mini。 i365-Tech是一家专业开发和生产GPS跟踪器、主要产品有迷你GPS追踪器和儿童GPS手表追踪器。

图片来源: Avast    GPS跟踪器的典型配置和架构

同一个供应商生产的GPS设备共享相同的后端基础设施,包括GPS跟踪器报告的云服务器,但是i365-Tech的后台基础设施充满了漏洞,这也给了黑客可趁之机。

首先, 跟踪器的所有通信都是未加密的,数据通过HTTP以纯文本形式发送, 容易将其暴露给黑客攻击。

其次,最大的问题是 大多数用户直接使用默认密码“123456”而没有进行修改 这对于用户而言本身就是危险的事,对于黑客而言则是攻击的良机。

黑客可以利用这个密码劫持用户的帐户,轻松访问所有账户,以便能够锁定设备佩戴者的实时GPS坐标。

此外,GPS设备上有摄像头和麦克风,其原本的作用是为了方便儿童或老年人在危机时向家庭成员或警局发出SOS呼叫,但这一功能却成为黑客监视用户的手段。

黑客能够监听GPS跟踪器附近的对话,或者通过GPS追踪器上的SIM卡电话号码,获取更多数据信息。

选择GPS设备要谨慎

这次受影响的30多种型号均由i365-Tech制造,有些甚至带有其他公司的标识,以白标产品的形式出售。

图片来源: Avast 

一般来说,云服务的账户是在GPS追踪器制造出来后立即创建的,对于深圳i365-Tech公司而言,恶意竞争对手可能会在这些GPS设备销售之前劫持账户并获取密码,从而有效锁定账户,在其未来销售之路上制造客户问题。

等到这些被劫持的用户发现漏洞为时已晚了。

目前深圳i365-Tech公司并未就此事做出回应。 那么对i365-Tech公司生产的GPS追踪器型号的用户来说,应该尽快更改默认的账户密码或者停止使用。

需要提醒大家的是, 大多数的儿童智能追踪手表都充满了各种安全漏洞,向远程黑客暴露了他们的具体位置,容易受到潜在的攻击。

因此在选择GPS设备时要小心谨慎,尽量选择安全系数高的设备,而 不是这些名义上保护实则会 带来虚假的安全感的冒牌智能设备

*本文由看雪编辑 LYA 编译自   Bleeping Computer、ZDNet ,转载请注明来源及作者。

公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com

“阅读原文” 一起来充电吧!

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章