GPS定位器:你的一举一动黑客了如指掌

你还敢买GPS定位器吗?你的一举一动黑客了如指掌

2016-01-05 15:10 原创 史中·方枪枪

1条评论

GPS定位器,很多人都用过。在某宝上搜索:“GPS定位器”“儿童定位手表”“宠物定位器”会出现一大堆。这类设备的核心原理都相同,只需要把含有定位芯片的产品放到人身上或者车里,就可以实现对目标的位置追踪。

这种产品由于技术含量比较低,所以大量的寨厂在生产。不过,来自360的网络攻防实验室的童鞋最近针对这些定位器做了研究,结论是四个字:漏洞成灾。

【某宝上出售的汽车GPS定位器】

先科普一下:定位器服务的工作原理是这样滴,每一个定位器的信号都会汇总到云平台上,云平台会根据用户的请求,把目标的位置传送给用户。

但是,这些云平台存在着大量漏洞:

首先,平台的运营者可以轻易看到用户的位置数据。

 

其次,在云平台上,存在大量可未授权访问的接口,黑客通过协议规范调用这些接口,可获取任意用户的信息,修改其密码,甚至定位其位置。

研究员通过接口将管理员的密码初始化,然后登录查看可以看到,仅仅这一个平台,就有超过25万的设备,而当前在线设备就有2.7万。

【通过读取GPS平台数据,发现有2.7万在线设备】

360网络攻防实验室研究员刘健皓告诉雷锋网:

对于一些汽车定位器而言,一般购买定位器都是某些组织为了方便车辆管理,所以会录入大量的车辆型号和人员信息以方便管理。这些信息,统统都暴露在几乎没有防护的危险之中。

【进入GPS云平台可以轻易获取车主姓名和车牌号信息】

如图所示,如果车辆的型号、位置、轨迹、人员这些高度精确的信息都掌握在别有用心的人手中,那么:

1、针对目标的抢劫、诈骗就可以非常轻易地完成,但这还不是最危险的。

 

2、由于大多数汽车定位器通过OBD接口连接车机,黑客可以利用SQL注入等方式夺取汽车的控制权,在行驶中突然断电断油,会对车上的乘客造成直接人身安全威胁。

【伊朗的用户都被“看光光”了】

由于可以轻易进入云平台的管理员模式,查看所有平台上的车辆位置,好奇的研究员甚至在中东和欧洲找到了不少被定位的汽车。

研究员翻遍了某宝,希望能够找到没有漏洞的产品,但是最终失望而归。刘健皓说:

我们发现所有小厂商的硬件背后都用了通用的程序,一套程序有漏洞,其他的都有漏洞,无一幸免。

【汽车轨迹、车主姓名一览无余】

加上儿童手表、宠物定位器等类似设备,从淘宝的销量来估算,已经卖出了超过100万台有漏洞的设备。

这100万台设备的主人里有没有你呢?鉴于现在很多童鞋对于GPS定位有刚需,团队给出了建议:

1、购买大厂商出品的定位器,安全级别相对较高,不会出现低级漏洞。

 

2、购买前应当在网上搜索一下有没有相关的安全漏洞。如果购买了产品发现有漏洞,建议用户停止使用,等待厂商更新平台漏洞。

日日啪 http://www.riripa.cn

时间: 2024-10-10 14:44:01

GPS定位器:你的一举一动黑客了如指掌的相关文章

手机GPS为什么能在室内定位?

为什么手机在室内也能定位?大部分人知道手机会通过GPS进行定位,其实手机定位系统并不是和我们的RTK完全一样的,因为那样就无法解释为何在室内也能定位了,这里我来科普一下智能手机的那些定位方法.     GPS定位 大家都对GPS定位应该都比较熟悉了,我就在这里简而言之它的原理.一般来讲,GPS卫星需要计算终端的x,y,z三维坐标,然后一个卫星计算时间,最终确定终端的位置方向,所以要想确定你的位置必须要搜到至少4个卫星才可以. 目前智能手机都支持GPS,有些甚至支持北斗和GLONASS.利用这种方

车载gps模拟器的使用方法

GPS模拟器能够模拟出GPS卫星信号运动轨迹,可以模拟GPS卫星导航系统的导航信号,同时也可以仿真任意时间地点和任意姿态的导航终端运动状态,也可以在静态.低动态.高动态等环境下进行导航终端测试.GPS信号模拟器可以模拟真实GPS卫星信号,给卫星导航用户设备提供批量自动化检测与测试.SYN5203GPS信号模拟器通过接收机器接收卫星信号并定位,然后SYN5203GPS信号模拟器进行轨迹录制,录制完后进行文件保存,卫星导航设备再接GPS信号模拟器发出的信号,此时卫星导航设备根据GPS信号模拟器的录制

Google Maps API Web Services

原文:Google Maps API Web Services 摘自:https://developers.google.com/maps/documentation/webservices/ Google Maps API Web Services 本文将探讨 Google Maps API Web Services,这是一个为您的地图应用程序提供地理数据的 Google 服务的 HTTP 接口集合.本指南仅旨在介绍通用于所有不同服务的 Web 服务和托管信息.每个服务的单个文档位于以下位置:

<<开源硬件创客 15个酷应用玩转树莓派>>

本书共分18章,前3章是本书的基础章节,主要介绍了树莓派的一些基本情况和基本操作,来让读者了解树莓派的前世今生,掌握树莓派基本的使用方法.第4~18章主要介绍15个以树莓派为载体的酷炫应用,大家可以按照本书一步一步来完成个人网站.影音盒子.下载机.私有云.智能路由器.智能家居等应用.附录部分,包含了树莓派常用的操作命令和一些使用技巧,方便大家更好地使用树莓派. 本书适合开源硬件爱好者学习.程序员.计算机软硬件爱好者,以及对树莓派感兴趣的读者阅读,也适合作为树莓派相关实践课程的基础教程. 作者简介

Google 地图 API V3 使用入门

鉴于google被屏蔽,复制过来,供参考. Hello, World 要开始了解 Google Maps API,最简单的方法就是查看简单的示例.以下网页显示了一张以澳大利亚新南威尔士的悉尼为中心的地图: <!DOCTYPE html> <html> <head> <meta name="viewport" content="initial-scale=1.0, user-scalable=no" /> <sty

黑客如何超越麦克风,窃听你的一举一动!

白宫总统顾问康威(Kellyanne Conway)在接受媒体采访时称,前总统奥巴马对川普阵营的实际监控可能比川普总统暗示的监听他的手机更广泛,监听设备甚至可以是微波炉,引发网友嘲讽. 康威表示,监听特朗普电话可能只是监视行动的冰山一角.她说:"我能说的是,有很多方法可以监视其他人."康威声称:"你可以透过他们的电话.当然还可以通过电视机等很多方式.可以通过变身摄影机的微波炉."康威的间谍微波炉说,引发网友一片讥讽.有网友表示,从现在起,最好微波热剩菜时,最好先检查

黑客教父郭盛华:谨防你的智能手机窥探你

尽管智能手机是现代便利的缩影,但存储我们的个人和专业信息(如电子邮件,照片,银行资料等)的这些设备很容易成为黑客和其他恶意活动的牺牲品. 随着全球企业最近发生的一系列数据泄露事件,保护用户数据的担忧变得比以前更为重要.智能手机中有许多应用程序通过弹出窗口或其他方式访问您的私人数据.你会注意到应用程序像第三方应用程序,手电筒等,要求访问您的相册,消息,电话,他们不需要权限. 允许这些第三方应用程序访问您的智能手机数据会使您的信息处于危险之中.中国黑客教父,元老,知名网络安全专家,东方联盟创始人郭盛

读书笔记——《黑客大曝光》(5/8)

第3部分 基础设施攻击 将无线网卡设置为“监听”状态,能够识别哪个无线网络处于激活状态.借助“aircrack-ng”——一个无线网络监听工具包,能够截获802.11无线网络原始传输数据,尤其擅长截获WEP初始化向量,从而破解WEP密钥. 第7章 远程连接和VoIP攻击 1.公共交换电话网络存在一个连接到关键设备的调制解调器,作为进入系统的后门. 2.拨号连接入侵的方式采用与其他类型的入侵相类似的方式展开:踩点.扫描.查点.漏洞发掘. 常用工具:Tonel oc和THC-Scan.WarVOX(

信念与荣耀——黑客们的故事(连载四)他们的世界

很少有黑客像咔嚓船长那样高调.真正的黑客不怎么在意别人的评价,他们一般都会沉浸在自己的世界中,看起来和真实世界有点格格不入.这不是装出来的——很少有装出来的黑客——而是他们的专注已经达到了心无旁骛的程度,没有办法为其他事情分心.也许身为最受推崇的虚拟人物之一的歇洛克·福尔摩斯对此深有同感:“即使咱们绕着月亮走,这对于我或者对于我的工作又有什么关系呢?”