密码为“123456”的600000个GPS跟踪器在线曝光

关注 2019-09-16 05:58:41 查看数 11422 ,评论数 0 资讯 数据安全


无论是照顾孩子、宠物还是看管自家汽车、行李箱等贵重物品,GPS追踪器都是非常不错的帮手,一款好的GPS追踪器可以帮助用户随时掌握需要定位的人、动物或贵重物品的位置情况。


买个GPS追踪器装在自己的车上很好,可以随时查看车子的位置,再也不怕贼惦记;老人、小孩不识路,怕走丢?没关系,有了GPS追踪器再也不怕老人、小孩走丢了;猫主子、狗主子喜欢撒开腿乱跑?没关系,有了GPS追踪器铲屎官上班也能将其动态轻松掌握。


听上去很美好对不对,可是世间完美的东西太少,看上去能让生活安全不少的GPS追踪器也是如此。捷克网络安全公司Avast的安全研究人员披露,国产GPS跟踪器存在安全漏洞,其使用的默认密码都是“123456”,攻击者可以利用这个密码劫持用户的账户,获取GPS跟踪器收集并发送到云端的所有数据。


该公司生产的GPS跟踪器客户遍布全球,在亚马逊、eBay等各种电子商务平台上都有销售,保守估计受影响的用户60多万名。也就是说,如果不修改密码,攻击者至少能掌握60多万人的信息。


30多种GPS跟踪器型号受到影响


Avast研究人员表示,他们在GPS追踪器T8 Mini中发现了这些问题。然而,随着研究的进行,Avast表示这些问题还影响了30多种其他型号的GPS跟踪器,这些型号均由同一供应商制造,有些甚至以贴牌的形式出售。


所有型号的GPS跟踪器都共享相同的后端基础设施,包括云服务器、客户通过浏览器登录以检查跟踪器位置的Web面板、以及连接到同一云服务器的类似移动应用程序。


但所有这些基础设施都充满了漏洞,最大的问题就是所有用户帐户(移动应用程序或Web面板)都使用非常容易就能猜到的用户ID和密码。


这意味着黑客可以通过逐个浏览所有用户ID,并使用相同的密码——123456,对云服务器发起攻击,并接管用户的帐户。虽然用户可以在首次登录帐户后更改默认设置,但Avast表示,在扫描四百多万个用户ID时,发现超过600,000个帐户仍在使用默认密码。


许多顾客购买这些设备来跟踪宠物、老人、小孩、汽车或其他贵重物品,攻击者不仅可以跟踪受害者,也可以获取跟踪器的位置,绑架或窃取有价值的产品。等到受害者发现已经晚了。


此外,这些设备配有麦克风和SIM卡,因此儿童或老年人可以向警察或家庭成员求救。黑客可以滥用此功能拨打自己的电话号码,接听电话,然后悄悄监控GPS跟踪器所有者。


不仅GPS跟踪器的用户有危险,公司也存在风险。由于云服务的帐户是在制造GPS跟踪器后立即创建的,恶意竞争对手可能会在销售这些设备之前劫持这些帐户并获取密码,从而有效锁定帐户并为该公司及其经销商在未来制造客户支持问题。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...