Avast Threat Labs發現365科技(Shenzhen i365 Tech)生產的GPS追蹤器,在網站登入機制上有安全缺失,可能導致使用者的帳號被接管或位置資訊曝光。
研究人員發現,用於追蹤兒童、寵物、家中長輩所在位置的中國製GPS追蹤器有多項漏洞,使得近30款產品、高達60萬用戶的即時地點等資訊可能被陌生人掌握、甚至可讓駭客竊聽追蹤器所有通訊內容。
防毒軟體廠商Avast Threat Labs研究人員發現中國廠商深圳365科技(Shenzhen i365 Tech)產品多項漏洞,使產品上傳雲端的資料,包括配戴者的即時GPS座標曝光。研究人員首先只分析T8 Mini GPS兒童追蹤器,後來發現這些漏洞影響該公司出品的所有29款追蹤器產品,這些產品有的使用該公司品牌,有的是貼牌,經由Amazon、eBay等大型通路行銷全球。
這項產品讓用戶透過app或是瀏覽器連上雲端伺服器,以存取設定或配戴者的即時地點。它第一項漏洞在於瀏覽器到其用戶入口網站的登入連線是走HTTP協定,而非HTTPS,這意謂著輸入密碼可能被半路截取。
此外,廠商允許用戶以5位數的ID碼或使用者名稱配合密碼登入入口網站,這裏又出現二項漏洞。首先,廠商明白告訴所有用戶登入密碼預設為123456。其次,使用者名稱必須跟銷售通路申請,因此大部份用戶想必會使用ID碼登入。可是研究人員發現,其5位數ID碼是取自GPS追蹤器的IMEI碼(International Mobile Equipment Identity,國際行動裝置辨識碼)的一部份,也是可預測的。因此駭客就能利用ID碼和預設123456的密碼登入並接管用戶帳號。
研究人員測試下,從這家廠商4千多萬筆ID碼中,以預設密碼登入了超過60萬個並未修改密碼的帳戶。透過接管帳戶,外人即可用以掌握配戴者的即時地點,或是進行更多樣化攻擊。後者是乃是利用產品搭配SIM卡,這項功能讓配戴者打電話呼救或傳送簡訊給家人手機,並以簡訊設立雲端伺服器IP和TCP port的功能。
研究人員發現,透過劫持的帳號,駭客即能將追蹤器ID綁上自己的電話,再以此設立新IP和TCP port將所有追蹤器活動完全導過來,藉這個新的雲端IP監控一切,包括和追蹤器互動的所有人,並能用它來撥電話或傳送簡訊給任何電話號碼,並從中竊聽電話,甚至傳送URL給追蹤器以下載變造過的韌體。
研究人員在發現產品漏洞後,於6月24日通知相關廠商,但表示二個月以來皆未收到任何回應,因而逕自揭露漏洞。
參考文章出處iThome新聞https://today.ithome.com.tw/news/132893