1. 首页
  2. 网络安全新闻

五十万GPS定位跟踪器泄露未成年儿童位置数据

五十万GPS定位跟踪器泄露未成年儿童位置数据

如果GPS技术旨在确保您的孩子,老年人和宠物即使在他们看不见的情况下无意中将他们暴露给潜行者,那该怎么办?

据安全研究人员称,亚马逊和其他大型在线商家以低于25美元至50美元的价格出售的600,000个GPS跟踪设备容易受到一些可能暴露用户实时位置的危险漏洞的攻击。

来自Avast的网络安全研究人员发现,由中国科技公司深圳i365制造的29种GPS跟踪器模型可以监控幼儿,老年亲属和宠物,这些模型存在许多安全漏洞。

此外,超过50万个跟踪设备都附带了相同的默认密码“123456”,让攻击者有机会轻松访问那些从未更改过默认密码的人的跟踪信息。

报告的GPS跟踪设备漏洞可以使只有Internet连接的远程攻击者能够:

跟踪设备佩戴者的实时GPS坐标
伪造设备的位置数据以提供不准确的读数
访问设备的麦克风以进行窃听

大多数发现的漏洞依赖于“GPS跟踪器和云”,“云和设备的配套移动应用程序”和“用户和设备的基于Web的应用程序”之间的通信都使用未加密的纯文本HTTP协议,允许MiTM攻击者拦截交换的数据并发出未经授权的命令。

“网络应用程序中的所有通信都通过HTTP传递。所有JSON请求都是未加密的,并且是纯文本的,”研究人员在详细报告中解释道。

“你可以让跟踪器拨打任意电话号码,一旦连接,你可以在他们不知情的情况下通过跟踪器听另一方。通信是基于文本的协议,最关心的是缺乏授权。整个事情只需通过其IMEI识别跟踪器即可。“

用短信监视实时GPS定位

除此之外,研究人员还发现远程攻击者还可以通过向与SIM卡相关联的电话号码(插入设备)发送短信来获取目标设备的实时GPS坐标,该SIM卡为设备提供DATA + SMS功能。

虽然攻击者首先需要知道跟踪器的相关电话号码和密码才能进行此攻击,但研究人员表示,人们可以利用云/移动应用相关的漏洞来命令跟踪器代表自己向任意电话号码发送短信,从而允许攻击者获取设备的电话号码。

现在,对于几乎所有设备,只要访问设备的电话号码和密码为“123456”,攻击者就可以将SMS用作攻击媒介。

研究人员对T8迷你GPS追踪器定位器的分析还发现,其用户被导向一个不安全的网站下载该设备的配套移动应用程序,从而暴露用户的信息。

超过五十万人使用受影响的GPS跟踪器受影响的GPS跟踪器型号包括T58,​​A9,T8S,T28,TQ,A16,A6,3G,A18,A21,T28A,A12,A19,A20,A20S,S1,P1,FA23,A107,RomboGPS,PM01,A21P ,PM02,A16X,PM03,WA3,P1-S,S6和S9。

虽然这些GPS追踪器的制造商深圳i365位于中国,但Avast的分析发现这些GPS追踪器广泛应用于美国,欧洲,澳大利亚,南美洲和非洲。

研究人员称,该公司于6月24日私下向供应商通报了重要的安全漏洞,并多次到达该公司,但从未得到过回复。

Avast的高级研究员Martin Hron说:

“我们已尽最大努力向制造商披露这些漏洞,但由于我们在标准时间窗口之后没有收到回复,因此我们现在向消费者发布此公告服务,并强烈建议您停止使用这些设备。 “
研究人员还建议人们进行部分研究并从受人尊敬的供应商处选择安全设备,而不是从亚马逊,eBay或其他在线市场上的未知公司购买任何廉价设备。

文章来源:【安全时代】 原文链接:https://www.agesec.com/news/7111.html

安全时代全部内容仅适用于网络安全技术爱好者学习研究,学习中请遵循国家相关法律法规。

安全时代全部数据来源互联网,不代表安全时代立场,如侵犯您权益可邮箱联系我们,详情:版权纠纷

发表评论

电子邮件地址不会被公开。 必填项已用*标注