上百款GPS追踪服务有漏洞，可能泄露你的行踪、个资

安全研究人员Vangelis Stykas与Michael Gruhn本周二（1/2）指出，有上百款GPS追踪装置的线上服务含有安全漏洞，将允许未经授权的第三方存取存放于服务中的资料。

这些线上服务主要搜集诸如宠物追踪装置、汽车追踪装置、小孩追踪装置或健身追踪装置等GPS追踪装置所传输的资料。

研究人员发现，相关服务拥有各种严重程度不一的安全漏洞，从容易猜测的预设密码、不安全的API到不安全的直接物件参考等，将允许骇客成功取得使用者的坐标、电话号码、装置资料、上传的照片或是个人资料，有些服务的漏洞还允许骇客传送命令到装置上。

特别的是，这些含有漏洞的线上服务大多数安装了ThinkRace所开发的位置追踪软件。

ThinkRace为一专门生产以安全及健身为导向的追踪产品，从个人用的GPS追踪器、GPS手表、GPS卡、宠物追踪器、单车追踪器、汽车追踪器到健身手环等，也替全球逾30个国家的企业、电信业者或政府提供代工服务。

从ThinkRace的背景与发展规模来看，就不难理解研究人员为何能够找到上百个含有漏洞的GPS线上服务了。例如，使用ThinkRace打造的线上服务都以123456为预设密码。

除了ThinkRace与屈指可数的线上服务已经修补了安全漏洞之外，其它绝大多数的线上服务都未修补，研究人员则建议使用者变更密码，在线上服务中移除自己的资料，或是在服务更新前停止使用受影响的装置。