這些設備的核心原理是相同的。 您只需將含有定位芯片的產品放在人身上或車內即可追蹤目標的位置。 由于該產品技術含量相對較低,目前有大量工廠在生產。 不過,360網絡攻防實驗室的童鞋最近對這些定位器進行了研究,結論就是四個字:漏洞就是災難。
某寶上有賣車載GPS定位器
先科普一下:定位器服務的工作原理如下。 每個定位器的信號都會匯聚到云平臺,云平臺會根據用戶的請求將目標的位置傳輸給用戶。
然而,這些云平臺存在大量漏洞:
首先,平臺運營商可以輕松查看用戶的位置數據。 其次,云平臺上存在大量可以未經授權訪問的接口。 黑客可以通過協議規范調用這些接口來獲取任意用戶的信息、修改用戶的密碼,甚至定位用戶的位置。
研究員通過界面初始化了管理員密碼,然后登錄查看。 可以看到,僅這個平臺就有超過25萬臺設備,目前在線設備有2.7萬臺。
通過讀取GPS平臺數據發現有27000臺在線設備
360網絡攻防實驗室研究員劉建豪告訴雷鋒網:
對于一些汽車追蹤器來說,一般購買追蹤器是為了一些機構方便車輛管理,所以會錄入大量的車輛型號和人員信息,方便管理。 所有這些信息都面臨著幾乎沒有保護的危險。
進入GPS云平臺可輕松獲取車主姓名及車牌號信息
如圖所示,如果車輛的型號、位置、軌跡、人員等高精度信息掌握在別有用心的人手中,那么:
1. 有針對性的搶劫和欺詐很容易實現,但這還不是最危險的。
2、由于大多數汽車追蹤器都是通過OBD接口與汽車連接,因此黑客可以利用SQL注入等方法來奪取汽車的控制權。 行駛過程中突然斷電、斷油,會對車內乘客的人身安全造成直接威脅。
伊朗用戶被“盯上”
由于可以輕松進入云平臺的管理員模式并查看所有平臺上車輛的位置,好奇的研究人員甚至發現了許多中東和歐洲定位的汽車。
研究人員翻遍了某寶,希望能找到沒有漏洞的產品,但最終卻失望了。 劉建豪說:我們發現所有小廠家的硬件在硬件背后都使用了通用的程序。 一個程序有漏洞,其他程序也有漏洞。 他們無一幸免。
車子軌跡、車主姓名一目了然
包括兒童手表、寵物定位器等類似設備,從淘寶銷量估算,已售出超過100萬臺易受攻擊的設備。
您是這 100 萬臺設備的擁有者之一嗎? 針對很多童鞋對于GPS定位有剛性需求,團隊給出建議:
1、購買大廠家生產的定位器,安全級別比較高,不會出現低級漏洞。
2. 購買前,您應該在互聯網上搜索任何相關的安全漏洞。 如果所購買的產品發現存在漏洞,建議用戶停止使用,等待廠商更新平臺漏洞。