網絡安全軟件廠商 Avast Threat Labs 的研究 發現,於 Amazon 上發售、價錢介乎港幣 200 至 400 港元不等、產自中國深圳365科技(Shenzhen i365 Tech)的 GPS 追蹤器材當中,有大約 60 萬部存在安全漏洞,會令罪犯能掌握佩戴者的即時位置、暗中啟動錄音器,甚至篡改衛星定位位置,令用家誤以為佩戴者身處「安全」地方活動。
這項產品讓用戶透過app或是瀏覽器連上雲端伺服器,以存取設定或佩戴者的即時地點。它第一項漏洞在於瀏覽器到其用戶入口網站的登入連線是走HTTP協定,而非經加密的HTTPS,意味著輸入密碼可能被半路截取。
此外,廠商允許用戶以5位數的ID碼或使用者名稱配合密碼登入入口網站,則是第二項漏洞。首先,廠商明白告訴所有用戶登入密碼預設為123456。其次,使用者名稱必須跟銷售商申請,故大部分用戶會使用ID碼登入。可是研究人員發現,其5位數ID碼是取自 GPS追蹤器的 IMEI 碼(International Mobile Equipment Identity,國際行動裝置辨識碼)的一部份仍可預測。因此駭客就能利用ID碼和預設123456的密碼登入並接管用戶帳號。
研究人員測試下,從這家廠商4千多萬筆ID碼中,以預設密碼登入了超過60萬個並未修改密碼的帳戶。透過接管帳戶,外人即可用以掌握佩戴者的即時地點,或是進行更多樣化攻擊。
研究人員表示,在發現產品漏洞後,曾於6月24日通知相關廠商,但兩個月以來皆未收到任何回應,故自行揭露漏洞。
