这些设备的核心原理是相同的。 您只需将含有定位芯片的产品放在人身上或车内即可追踪目标的位置。 由于该产品技术含量相对较低,目前有大量工厂在生产。 不过,360网络攻防实验室的童鞋最近对这些定位器进行了研究,结论就是四个字:漏洞就是灾难。
某宝上有卖车载GPS定位器
先科普一下:定位器服务的工作原理如下。 每个定位器的信号都会汇聚到云平台,云平台会根据用户的请求将目标的位置传输给用户。
然而,这些云平台存在大量漏洞:
首先,平台运营商可以轻松查看用户的位置数据。 其次,云平台上存在大量可以未经授权访问的接口。 黑客可以通过协议规范调用这些接口来获取任意用户的信息、修改用户的密码,甚至定位用户的位置。
研究员通过界面初始化了管理员密码,然后登录查看。 可以看到,仅这个平台就有超过25万台设备,目前在线设备有2.7万台。
通过读取GPS平台数据发现有27000台在线设备
360网络攻防实验室研究员刘建豪告诉雷锋网:
对于一些汽车追踪器来说,一般购买追踪器是为了一些机构方便车辆管理,所以会录入大量的车辆型号和人员信息,方便管理。 所有这些信息都面临着几乎没有保护的危险。
进入GPS云平台可轻松获取车主姓名及车牌号信息
如图所示,如果车辆的型号、位置、轨迹、人员等高精度信息掌握在别有用心的人手中,那么:
1. 有针对性的抢劫和欺诈很容易实现,但这还不是最危险的。
2、由于大多数汽车追踪器都是通过OBD接口与汽车连接,因此黑客可以利用SQL注入等方法来夺取汽车的控制权。 行驶过程中突然断电、断油,会对车内乘客的人身安全造成直接威胁。
伊朗用户被“盯上”
由于可以轻松进入云平台的管理员模式并查看所有平台上车辆的位置,好奇的研究人员甚至发现了许多中东和欧洲定位的汽车。
研究人员翻遍了某宝,希望能找到没有漏洞的产品,但最终却失望了。 刘建豪说:我们发现所有小厂家的硬件在硬件背后都使用了通用的程序。 一个程序有漏洞,其他程序也有漏洞。 他们无一幸免。
车子轨迹、车主姓名一目了然
包括儿童手表、宠物定位器等类似设备,从淘宝销量估算,已售出超过100万台易受攻击的设备。
您是这 100 万台设备的拥有者之一吗? 针对很多童鞋对于GPS定位有刚性需求,团队给出建议:
1、购买大厂家生产的定位器,安全级别比较高,不会出现低级漏洞。
2. 购买前,您应该在互联网上搜索任何相关的安全漏洞。 如果所购买的产品发现存在漏洞,建议用户停止使用,等待厂商更新平台漏洞。