英国资安业者Fidus Information Security最近披露,由某家中国业者制造的GPS追踪器含有多个重大的安全漏洞,将允许远程***得知用户位置、启用麦克风以进行窃听,或是重置装置设定,而且该业者与多个品牌合作,在全球市场皆有铺货,估计光是在英国就有超过1万台含有相关漏洞的GPS追踪器。GPS追踪器通常是为老人或小孩所设计的,可在超出活动范围时传送警报予紧急联络人,电池续航力高达数月。新款的GPS追踪器配有独立的电话号码,可透过行动网络建立链接,允许亲友藉由文字简讯传送命令以得知用户位置,拨打电话以启用用户的麦克风,设定警报,还能锁住装置,变更装置密码,重启或是重置装置等。
它内建了PIN码功能,当亲友要传送命令时必须先输入PIN码,不过在该装置的默认值中,PIN码功能是关闭的,此外,有两项命令完全不需PIN码,亦即重启装置与重置装置,而就算启用了PIN码,一但装置自远程被重置,亲友完全不需要PIN码就能传送命令,***亦如是。于是,装置上的保护功能几乎是无效的。意谓着***只要知道装置的电话号码就能恣意传送各种命令,得知用户的实时位置,或是自远程启用装置麦克风,窃听用户或四周的声音。
研究人员猜测这些装置的电话号码是大批购买的,便以手上所持有的GPS追踪装置电话号码进行猜测,一次传送命令给2,500个号码,结果收到175个GPS追踪装置的响应。Fidus指出,要修补相关漏洞并不难,只要规定任何的配置变更都必须输入PIN码,以及仅限紧急联络人得以要求地点信息或启用装置麦克风即可,但这些装置已被不同的品牌销售到世界各地,可能必须执行大规模的召回活动才能修补。Fidus并未公布该装置的中国制造商名称,也未揭露销售此一装置的品牌业者,仅说除了英国之外,在美国、澳洲、芬兰及德国都能看到此一产品的踪迹。
原文地址:https://blog.51cto.com/13355233/2394351