GPS追踪器有安全漏洞,允许黑客读取用户位置窃听

发表于:2019-5-14 09:14

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:XL科技    来源:今日头条

#
GPS
分享:
  英国安全研究员Fidus Information Security最近披露,由某家中国业者制造的GPS追踪器含有多个重大的安全漏洞,将允许远端黑客得知用户位置、启用麦克风以进行窃听,或是重置装置设定,而且该业者与多个品牌合作,在全球市场皆有铺货,估计光是在英国就有超过1万台含有相关漏洞的GPS追踪器。
  
  GPS追踪器通常是为老人或小孩所设计的,可在超出活动范围时传送警报予紧急联络人,电池续航力高达数月。新款的GPS追踪器配有独立的电话号码,可通过行动网络建立连结,允许亲友藉由文字简讯传送命令以得知用户位置,拨打电话以启用用户的麦克风,设定警报,还能锁住装置,变更装置密码,重启或是重置装置等。
  它内建了PIN码功能,当亲友要传送命令时必须先输入PIN码,不过在该装置的预设值中,PIN码功能是关闭的,此外,有两项命令完全不需PIN码,亦即重启装置与重置装置,而就算启用了PIN码,一但装置自远端被重置,亲友完全不需要PIN码就能传送命令,黑客亦如是。
  于是,装置上的保护功能几乎是无效的。意谓着黑客只要知道装置的电话号码就能恣意传送各种命令,得知用户的即时位置,或是自远端启用装置麦克风,窃听用户或四周的声音。
  研究人员猜测这些装置的电话号码是大批购买的,便以手上所持有的GPS追踪装置电话号码进行猜测,一次传送命令给2,500个号码,结果收到175个GPS追踪装置的回应。
  Fidus指出,要修补相关漏洞并不难,只要规定任何的配置变更都必须输入PIN码,以及仅限紧急联络人得以要求地点消息或启用装置麦克风即可,但这些装置已被不同的品牌销售到世界各地,可能必须执行大规模的召回活动才能修补。
  Fidus并未公布该装置的中国制造商名称,也未揭露销售此一装置的品牌业者,仅说除了英国之外,在美国、澳洲、芬兰及德国都能看到此一产品的踪迹。

     上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号