600000個(gè)GPS跟蹤器在線曝光 默認(rèn)密碼為123456

捷克網(wǎng)絡(luò)安全公司Avast的安全研究人員今天透露，一家公司生產(chǎn)的至少600,000臺(tái)GPS追蹤器正在使用相同的默認(rèn)密碼“123456”。

他們說(shuō)，黑客可以濫用這個(gè)密碼劫持用戶的帳戶，他們可以監(jiān)視GPS跟蹤器附近的對(duì)話，欺騙跟蹤器的真實(shí)位置，或者獲取跟蹤器附加的SIM卡電話號(hào)碼，以便通過(guò)GSM頻道進(jìn)行跟蹤。

超過(guò)30個(gè)GPS跟蹤器型號(hào)受到影響

Avast研究人員表示，他們?cè)谖锫?lián)網(wǎng)設(shè)備制造商深圳i365-Tech生產(chǎn)的GPS追蹤器T8 Mini中發(fā)現(xiàn)了這些問(wèn)題。

然而，隨著他們的研究進(jìn)展，Avast表示這些問(wèn)題還影響了30多種其他型號(hào)的GPS跟蹤器，這些型號(hào)均由同一供應(yīng)商制造，有些甚至以白標(biāo)產(chǎn)品的形式出售，帶有其他公司的標(biāo)識(shí)。

所有型號(hào)共享相同的后端基礎(chǔ)設(shè)施，包括GPS跟蹤器報(bào)告的云服務(wù)器，客戶通過(guò)瀏覽器登錄以檢查跟蹤器位置的Web面板，以及連接到同一云服務(wù)器的類(lèi)似移動(dòng)應(yīng)用程序。

但所有這些基礎(chǔ)設(shè)施都充滿了漏洞。雖然Avast在其報(bào)告中詳述了幾個(gè)問(wèn)題，但最大的問(wèn)題是所有用戶帳戶(來(lái)自移動(dòng)應(yīng)用程序或Web面板)都依賴(lài)于易于猜測(cè)的用戶ID和密碼。

用戶ID基于GPS跟蹤器的IMEI(國(guó)際移動(dòng)設(shè)備身份)代碼并且是相同的，而密碼對(duì)于所有設(shè)備都是相同的 - 123456。

這意味著黑客可以通過(guò)逐個(gè)瀏覽所有用戶ID，并使用相同的123456密碼，對(duì)深圳i365-Tech的云服務(wù)器發(fā)起自動(dòng)攻擊，并接管用戶的帳戶。

雖然用戶可以在首次登錄帳戶后更改默認(rèn)設(shè)置，但Avast表示，在掃描超過(guò)四百萬(wàn)個(gè)用戶ID時(shí)，發(fā)現(xiàn)超過(guò)600,000個(gè)帳戶仍在使用默認(rèn)密碼。

普遍跟蹤和其他攻擊

許多顧客購(gòu)買(mǎi)這些設(shè)備來(lái)跟蹤寵物，老人家庭成員，兒童，汽車(chē)或其他貴重物品。獲得訪問(wèn)其中一個(gè)客戶帳戶的攻擊者可以跟蹤受害者，但他們也可以欺騙跟蹤器的位置，綁架或竊取有價(jià)值的產(chǎn)品，而無(wú)需業(yè)主注意，直到為時(shí)已晚。

此外，這些設(shè)備配有麥克風(fēng)和SIM卡，因此兒童或老年人可以向或家庭成員發(fā)出SOS呼叫。

Avast表示，帳戶黑客可以濫用此功能撥打自己的電話號(hào)碼，接聽(tīng)電話，然后悄悄監(jiān)視GPS跟蹤器所有者。

默認(rèn)密碼也會(huì)使供應(yīng)商的利潤(rùn)處于危險(xiǎn)之中

但是這些默認(rèn)密碼對(duì)于這些GPS跟蹤器的所有者來(lái)說(shuō)并不危險(xiǎn)。阿瓦斯特說(shuō)，公司本身就處于危險(xiǎn)之中。

研究人員解釋說(shuō)，云服務(wù)的帳戶是在制造GPS跟蹤器后立即創(chuàng)建的。他們表示，惡意競(jìng)爭(zhēng)對(duì)手可能會(huì)在銷(xiāo)售這些設(shè)備之前劫持這些帳戶并獲取密碼，從而有效鎖定帳戶并為深圳i365-Tech及其經(jīng)銷(xiāo)商在未來(lái)的路上制造客戶支持問(wèn)題。

由于Avast的研究?jī)H考慮了400萬(wàn)用戶ID，因此使用默認(rèn)密碼的GPS跟蹤器的實(shí)際數(shù)量可能要高得多。

不幸的是，對(duì)于每個(gè)人來(lái)說(shuō)，問(wèn)題一直持續(xù)到今天，因?yàn)樯钲趇365-Tech在公司試圖警告供應(yīng)商時(shí)沒(méi)有回應(yīng)Avast的電子郵件。ZDNet姊妹網(wǎng)站CNET的類(lèi)似聯(lián)系嘗試也沒(méi)有成功。