超过50万个GPS跟踪器的缺陷暴露了儿童的位置数据
发布时间:2022-12-11 19:37:41 515
相关标签: # 漏洞# 设备# 信息# 安全漏洞# 网络安全
据估计,亚马逊和其他大型在线商家将出售60万台GPS跟踪设备,售价25美元–$安全研究人员称,已有50个用户被发现容易受到一些危险漏洞的攻击,这些漏洞可能暴露了用户的实时位置。
Avast的网络安全研究人员发现,中国科技公司生产的29款GPS跟踪器深圳i365为了监视幼儿、老年亲属和宠物,存在许多安全漏洞。
GPS跟踪设备中的漏洞
报告的GPS跟踪设备漏洞可能使远程攻击者仅通过互联网连接即可:- 跟踪设备佩戴者的实时GPS坐标,
- 伪造设备的位置数据以提供不准确的读数,以及
- 访问设备的麦克风进行窃听。
研究人员在一份详细报告中解释说:“web应用程序中的所有通信都通过HTTP进行。所有JSON请求都是未加密的纯文本。”。
“你可以让追踪器拨打任意电话号码,一旦连接,你可以在对方不知情的情况下通过追踪器监听对方。通信是基于文本的协议,最令人担心的是缺乏授权。整个过程只需通过IMEI识别追踪器即可。”
通过短信监视实时GPS定位
除此之外,研究人员还发现,远程攻击者还可以通过向与SIM卡(插入设备)相关联的电话号码发送短信来获取目标设备的实时GPS坐标,该SIM卡为设备提供数据+短信功能。尽管攻击者首先需要知道追踪器的相关电话号码和密码才能进行攻击,但研究人员表示,可以利用与云/移动应用程序相关的缺陷,命令追踪器代表自身向任意电话号码发送短信,从而使攻击者获得设备的电话号码。
现在,通过对几乎所有设备的设备的电话号码和密码的访问,“123456”可以使用SMS作为攻击向量。
研究人员对T8迷你GPS跟踪器定位器的分析还发现,它的用户被引导到一个不安全的网站下载该设备的配套移动应用程序,从而暴露了用户的信息。
虽然这些GPS跟踪器的制造商深圳i365位于中国,但Avast的分析发现,这些GPS跟踪器在美国、欧洲、澳大利亚、南美和非洲广泛使用。
研究人员表示,他们在6月24日私下通知了供应商关键的安全漏洞,并多次联系该公司,但从未得到回复。
Avast的高级研究员Martin Hron说:
现在,通过对几乎所有设备的设备的电话号码和密码的访问,“123456”可以使用SMS作为攻击向量。
研究人员对T8迷你GPS跟踪器定位器的分析还发现,它的用户被引导到一个不安全的网站下载该设备的配套移动应用程序,从而暴露了用户的信息。
超过50万人使用受影响的GPS跟踪器
受影响的GPS跟踪器型号包括T58、A9、T8S、T28、TQ、A16、A6、3G、A18、A21、T28A、A12、A19、A20、A20S、S1、P1、FA23、A107、RomboGPS、PM01、A21P、PM02、A16X、PM03、WA3、P1-S、S6和S9。虽然这些GPS跟踪器的制造商深圳i365位于中国,但Avast的分析发现,这些GPS跟踪器在美国、欧洲、澳大利亚、南美和非洲广泛使用。
研究人员表示,他们在6月24日私下通知了供应商关键的安全漏洞,并多次联系该公司,但从未得到回复。
Avast的高级研究员Martin Hron说:
“我们已经对向制造商披露这些漏洞进行了尽职调查,但由于我们在标准时间窗口后没有得到回复,我们现在向消费者发布此公共服务公告,并强烈建议您停止使用这些设备。”研究人员还建议人们做部分研究,从受尊敬的供应商那里选择安全设备,而不是从亚马逊、eBay或其他在线市场上的未知公司购买任何廉价设备。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报