安全研究人员Vangelis Stykas与Michael Gruhn指出,有上百款GPS追踪装置的在线服务含有安全漏洞,将允许未经授权的第三方存取存放于服务中的数据。
这些在线服务主要搜集诸如宠物追踪装置、汽车追踪装置、小孩追踪装置或健身追踪装置等GPS追踪装置所传输的数据。
研究人员发现,相关服务拥有各种严重程度不一的安全漏洞,从容易猜测的默认密码、不安全的API到不安全的直接对象参考等,将允许黑客成功取得用户的坐标、电话号码、装置数据、上传的照片或是个人资料,有些服务的漏洞还允许黑客传送命令到装置上。
特别的是,这些含有漏洞的在线服务大多数安装了ThinkRace所开发的位置追踪软件。
ThinkRace为一专门生产以安全及健身为导向的追踪产品,从个人用的GPS追踪器、GPS手表、GPS卡、宠物追踪器、单车追踪器、汽车追踪器到健身手环等,也替全球逾30个国家的企业、电信业者或政府提供代工服务。
从ThinkRace的背景与发展规模来看,就不难理解研究人员为何能够找到上百个含有漏洞的GPS在线服务了。例如,使用ThinkRace打造的在线服务都以123456为默认密码。
除了ThinkRace与屈指可数的在线服务已经修补了安全漏洞之外,其它绝大多数的在线服务都未修补,研究人员则建议用户变更密码,在在线服务中移除自己的数据,或是在服务更新前停止使用受影响的装置。
文章出自:养成直播主播课 http://veeko.com.tw/