超过50万个GPS跟踪器的缺陷暴露了儿童的位置数据

据估计，亚马逊和其他大型在线商家将出售60万台GPS跟踪设备，售价25美元–$安全研究人员称，已有50个用户被发现容易受到一些危险漏洞的攻击，这些漏洞可能暴露了用户的实时位置。

Avast的网络安全研究人员发现，中国科技公司生产的29款GPS跟踪器深圳i365为了监视幼儿、老年亲属和宠物，存在许多安全漏洞。
此外，超过50万台追踪设备都配备了相同的默认密码“123456”，这为那些从未更改默认密码的攻击者提供了轻松访问追踪信息的机会。

GPS跟踪设备中的漏洞

报告的GPS跟踪设备漏洞可能使远程攻击者仅通过互联网连接即可：

• 跟踪设备佩戴者的实时GPS坐标，
• 伪造设备的位置数据以提供不准确的读数，以及
• 访问设备的麦克风进行窃听。

大多数发现的漏洞依赖于“GPS跟踪器与云”、“云与设备的配套移动应用程序”和“用户与设备的基于网络的应用程序”之间的通信；它们都使用未加密的纯文本HTTP协议，允许MiTM攻击者拦截交换的数据并发出未经授权的命令。

研究人员在一份详细报告中解释说：“web应用程序中的所有通信都通过HTTP进行。所有JSON请求都是未加密的纯文本。”。

“你可以让追踪器拨打任意电话号码，一旦连接，你可以在对方不知情的情况下通过追踪器监听对方。通信是基于文本的协议，最令人担心的是缺乏授权。整个过程只需通过IMEI识别追踪器即可。”

通过短信监视实时GPS定位

除此之外，研究人员还发现，远程攻击者还可以通过向与SIM卡（插入设备）相关联的电话号码发送短信来获取目标设备的实时GPS坐标，该SIM卡为设备提供数据+短信功能。

 

尽管攻击者首先需要知道追踪器的相关电话号码和密码才能进行攻击，但研究人员表示，可以利用与云/移动应用程序相关的缺陷，命令追踪器代表自身向任意电话号码发送短信，从而使攻击者获得设备的电话号码。

现在，通过对几乎所有设备的设备的电话号码和密码的访问，“123456”可以使用SMS作为攻击向量。

研究人员对T8迷你GPS跟踪器定位器的分析还发现，它的用户被引导到一个不安全的网站下载该设备的配套移动应用程序，从而暴露了用户的信息。

超过50万人使用受影响的GPS跟踪器

受影响的GPS跟踪器型号包括T58、A9、T8S、T28、TQ、A16、A6、3G、A18、A21、T28A、A12、A19、A20、A20S、S1、P1、FA23、A107、RomboGPS、PM01、A21P、PM02、A16X、PM03、WA3、P1-S、S6和S9。

虽然这些GPS跟踪器的制造商深圳i365位于中国，但Avast的分析发现，这些GPS跟踪器在美国、欧洲、澳大利亚、南美和非洲广泛使用。

研究人员表示，他们在6月24日私下通知了供应商关键的安全漏洞，并多次联系该公司，但从未得到回复。

Avast的高级研究员Martin Hron说：

“我们已经对向制造商披露这些漏洞进行了尽职调查，但由于我们在标准时间窗口后没有得到回复，我们现在向消费者发布此公共服务公告，并强烈建议您停止使用这些设备。”

研究人员还建议人们做部分研究，从受尊敬的供应商那里选择安全设备，而不是从亚马逊、eBay或其他在线市场上的未知公司购买任何廉价设备。