轉自Info security,作者Sarah Coble
全球定位系統(GPS) 60萬個追蹤裝置被發現存在安全缺陷,這些裝置旨在保護社會最弱勢群體的安全。
Avast威脅實驗室的研究人員在29種不同的設備模型中發現了許多漏洞,這些設備模型通常用於跟蹤兒童、老年人和寵物的行蹤。
受影響的追蹤器會將發送到雲端的數據公之於眾,從而使黑客能夠鎖定設備佩戴者的實時GPS坐標。追蹤器的設計缺陷也使得第三方有可能侵入設備,偽造數據,給出不準確的位置讀數。
從這些設備發送到雲計算的數據沒有加密、沒有經過身份驗證,而且是以明文形式編寫的,這似乎是一個明顯的失誤,很容易成為黑客攻擊的目標。
此外,內置攝像頭和麥克風的設備被發現存在缺陷,這使得黑客有可能利用它們來監視或竊聽佩戴者。
這些有缺陷的設備由中國製造商製造,並以各種品牌轉售。這些設備在網上商戶處的售價普遍在25美元至50美元之間。
Avast的威脅情報團隊分析發現,T8迷你GPS跟蹤器定位器的用戶被指向一個不安全的網站,下載該設備的配套行動應用程式。下載該應用程式的用戶的信息被暴露。
用戶的帳戶信息也很容易受到攻擊,因為默認密碼「123456」被大量分配給用戶,這個密碼通常被認為相當於向黑客提供免費漏洞。
其中一些GPS跟蹤器充斥著安全漏洞
對於那些已經購買了這些易受攻擊的跟蹤器之一的用戶,Avast建議更改默認用戶密碼,儘管在這種情況下,設備發送到雲的未加密數據仍然可以被截獲。
Avast的研究人員補充說,雖然在單個製造商的設備和行動應用程式中發現了安全漏洞,但「谷歌Play和iOS應用程式商店中的50個行動應用程式共享同一個未加密的平臺。」
Hron補充說:「我們在向製造商披露這些漏洞方面做了盡職調查,但由於我們在標準時間窗之後沒有得到回覆,我們現在向消費者發布這項公共服務聲明,強烈建議你們停止使用這些設備。」
更多關於漏洞是如何被發現的細節,以及每個脆弱模型的受影響設備的確切數量和可能的攻擊載體,都可以在Avast的威脅實驗室博客上獲得。
這已經不是第一次孩子的位置暴露了車GPS追蹤器,研究人員有發現就在上個月,超越LeapPad兒童平板電腦可以輕易被黑客用來定位和使用他們與孩子們互動,以及網絡釣魚父母為敏感信息。
早在2017年,歐洲消費者組織(European Consumer Organisation, BEUC)也發布了一份公共服務聲明:
警告稱,大多數兒童的GPS追蹤智能手錶都充滿了各種安全漏洞,暴露了它們的位置,或者讓潛在的攻擊者控制了這些設備。
聲明:我們尊重原創者版權,除確實無法確認作者外,均會註明作者和來源。轉載文章僅供個人學習研究,同時向原創作者表示感謝,若涉及版權問題,請及時聯繫小編刪除!
精彩在後面
Hi,我是超級盾
超級盾:從現在開始,我的每一句話都是認真的。
如果,你被攻擊了,別打110、119、120,來這裡看著就行。
截至到目前,超級盾成功抵禦史上最大2.47T黑客DDoS攻擊,超級盾具有無限防禦DDoS、100%防CC的優勢。