科技食谱

超过600,000个GPS跟踪器“密码为123456”

可以使用GPS指定诸如智能手机之类的位置的GPS跟踪器是用于定位儿童,宠物和汽车的设备。便宜的一个大约是20,000韩元,可以在亚马逊上购买。但是,据安全公司Avest Software称,600,000个GPS跟踪器很容易受到窃听和欺骗攻击。

GPS跟踪器将从GPS模块获取的位置信息发送到通信模块,并使得能够捕获所有者的位置。 GPS跟踪器本身既简单又便宜,但是有些人可以通过按SOS按钮来使用电话功能,或者通过内置扬声器播放声音。 GPS跟踪器发送的位置信息可以上传到云中,并可以通过Web应用程序或智能手机应用程序查看。

根据Avast Threat Labs的说法,购买了中国制造的T8 mini可以在GPS跟踪器上分析处理过程,云到云流量应用程序以及云到云流量。该产品是钥匙圈大小的GPS跟踪器,并且是可以与SOS按钮,扬声器和麦克风进行双向通信的型号。

登录Web应用程序时,您可以查看位置信息。在Google Maps上,显示GPS跟踪器的位置和制造标识号,在线状态,电池电量,位置信息获取日期和时间以及停止时间。但是,可以将Web应用程序版本登录表单视为HTTP协议,而不是HTTPS协议,这是一种加密通信。该手册说,GPS跟踪器制造标识号的默认登录ID和默认密码设置为123456。令人惊讶的是,它说,要在用户ID中注册用户名,您需要联系您所在的零售店。购买了它。说明显然可以从零售商店访问用制造标识号和123456密码设置的内容。

换句话说,用户帐户信息无需加密就可以通过Internet传输。他指出,如果不更改默认密码,则恶意攻击者很可能会轻易劫持GPS跟踪器。由于存在此漏洞,攻击者可以轻松地检查GPS跟踪器的位置信息,并远程使用SOS功能来激活双向通信功能并窃听攻击者的设备。

Avast还分析了GPS跟踪器的制造标识号。据此,显示在Web应用程序上的制造标识号是11位数字。这表示它不符合要求15位数字的标准。作为AVEST不断调查的结果,发现显示的唯一内容不是真实的制造标识号,而是唯一基于该编号创建的ID。

Avast搜索了100万个ID,其中前4位数字为1703,发现其中有600,000个设备正在运行,默认密码为123456。据说至少有167,000个设备能够在线搜索位置信息。另外,由于使用了相同的系统或API,因此不仅在T8 mini上,而且在30种不同的GPS跟踪器上都确认了此问题。关于此问题,Avast于6月通知了GPS追踪器公司,但直到9月份都没有任何公司的答复。相关信息可以在这里找到。