1. 主頁
  2. 新聞消息

GPS 追蹤器曝漏洞    逾60萬用戶資訊被洩露

為子女、長輩、寵物添置一個 GPS 追蹤器,原意無非想安心,但如果罪犯都可得知他們的位置,有可能是得不償失。

網絡安全軟件廠商 Avast Threat Labs 的研究 發現,於 Amazon 上發售、價錢介乎港幣 200 至 400 港元不等、產自中國深圳365科技(Shenzhen i365 Tech)的 GPS 追蹤器材當中,有大約 60 萬部存在安全漏洞,會令罪犯能掌握佩戴者的即時位置、暗中啟動錄音器,甚至篡改衛星定位位置,令用家誤以為佩戴者身處「安全」地方活動。

這項產品讓用戶透過app或是瀏覽器連上雲端伺服器,以存取設定或佩戴者的即時地點。它第一項漏洞在於瀏覽器到其用戶入口網站的登入連線是走HTTP協定,而非經加密的HTTPS,意味著輸入密碼可能被半路截取。

此外,廠商允許用戶以5位數的ID碼或使用者名稱配合密碼登入入口網站,則是第二項漏洞。首先,廠商明白告訴所有用戶登入密碼預設為123456。其次,使用者名稱必須跟銷售商申請,故大部分用戶會使用ID碼登入。可是研究人員發現,其5位數ID碼是取自 GPS追蹤器的 IMEI 碼(International Mobile Equipment Identity,國際行動裝置辨識碼)的一部份仍可預測。因此駭客就能利用ID碼和預設123456的密碼登入並接管用戶帳號。

研究人員測試下,從這家廠商4千多萬筆ID碼中,以預設密碼登入了超過60萬個並未修改密碼的帳戶。透過接管帳戶,外人即可用以掌握佩戴者的即時地點,或是進行更多樣化攻擊。

研究人員表示,在發現產品漏洞後,曾於6月24日通知相關廠商,但兩個月以來皆未收到任何回應,故自行揭露漏洞。

本文來自投稿,不代表Timetocoin幣時代立場,如若轉載,請注明出處。

Timetocoin致力為中文讀者蒐集最新的加密貨幣及區塊鍊消息。如讀者對網站有任何建議,請電郵我們 – info@timetocoin.com。 交流各種加密貨幣話題,接收最新情報,關注我們的 Facebook專頁及加入Telegram群組: https://t.me/timetocoin

發佈留言

登录后才能评论