随着物联网的兴起,各种 GPS定位仪器迅速普及,很多家庭为汽车、宠物甚至孩子装上定位装置,然而记者发现,目前市场上流行的GPS定位设备在给用户带来方便的同时也存在程序漏洞,一旦被不法分子利用,将有可能发生车毁人亡事件。
Gps定位设备随便卖
记者在淘宝网上、京东网上看到许多GPS定位设备,有的设备销售量甚至超过10000台,非常火爆。大多数卖家销售的主流gps定位系统价格从100多元到400多元不等,这些设备用的用于车辆定位、车辆跟踪,车辆监控管理,有的定位器制作简单,个头小巧,只有一枚硬币大小,可以佩戴在书包、项圈等位置,用于防止老人、儿童、宠物丢失。一款手机大小的GPS追踪定位器可以牢牢吸在车上,一般震动都难以取下。
记者邀请360攻防实验室专家对这些GPS设备的云平台程序进行了监测,结果发现,云平台上存在多个高危漏洞,攻击者利用漏洞可定位到使用该设备的任意用户或车辆的当前位置,历史轨迹,甚至可远程切断行驶车辆的油电。
360攻防实验室专家贾文晓介绍,这些定位系统大多采用同样的架构原理,一般来说在GPS定位装置里装有一张3G手机卡,定位装置获取到当前位置坐标后通过3g网络传输到云监控平台,用户通过pc或者移动设备登录监控平台,即可定位绑定在自己账号下的设备位置。
记者发现,商家多介绍这些设备的用途,最多也只是提醒不能用于违法犯罪行为,网友可以随意购买。
漏洞影响百万设备 可远程断油电
通过研究发现,在这款GPS定位装置的云平台上,存在大量可未授权访问的webservice接口,专家通过协议规范调用这些接口,可获取任意用户的信息,修改其密码,甚至定位其位置。更为危险的是,对于一般用户,选择输入IMEI和密码可定位单一的设备位置。然而经销商却可以通过输入账号密码可控制其账号下所有设备。仅仅这一个平台,就有超过25万的设备,当前在线设备就有2.7万。
专家对一台设备360攻防实验室专家对一款月成交8000个,累计评价超过22000次的定位装置进行了监测。专家很容易直接定位到这台设备安装的车辆的地点为长沙市某小区南101米,某美容美发店正西79米,定位非常准确,并且可以看到当时的行进速度为每小时62公里。
专家对该设备进行进一步破解,甚至可以获取到使用该设备的车辆及人员的具体信息包括电话、设备名称、用户姓名、设备号码等等。更为严重的是,利用这台设备行驶轨迹,甚至可以远程断油电。
随后,专家对淘宝多个销量较大的商家GPS设备程序进行测试,发现绝大多数平台都存在漏洞,涉及到的GPS定位设备总数超过了100万台。
“出现原因就是因为这个系统存在多个高危漏洞”专家介绍,该系统的webservice接口还存在有sql注入漏洞,通过在soap消息中插入恶意数据,黑客甚至可直接控制该服务器。令人担忧的是,目前这套商业化的GPS定位程序使用量非常大,用户遍布中国、欧洲、中东、非洲、东南亚等多个地区。
购买前首先请专业部门测试漏洞
“如果不法分子利用漏洞,对用户安全来说会造成很大影响。”著名白帽子黑客团队神话团队负责人王英键表示,存在漏洞的被不法分子利用的话,就成了暴露用户位置信息的一条路径,不法分子可以随时跟踪用户,威胁用户生命财产安全。
王英键提示,用户也不用过于担心自己车辆被装上GPS,这类定位器是装有强磁铁的,所以车上除了这个定位器可以去一些磁力检测仪来检测。第二种方法是GPS定位系统是需要用GPS信号的定位车辆的,可以在一个信号屏蔽的环境下检测车辆是否有GPS信号。
如果用户购买了产品,最好提请专业机构进行漏洞监测,一旦发现有漏洞,王英键建议用户停止使用,等待厂商更新平台漏洞。
特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。
