捷克网络安全公司Avast的安全研究人员今天透露,一家公司生产的至少600,000台GPS追踪器正在使用相同的默认密码“123456”。
他们说,黑客可以滥用这个密码劫持用户的帐户,他们可以监视GPS跟踪器附近的对话,欺骗跟踪器的真实位置,或者获取跟踪器附加的SIM卡电话号码,以便通过GSM频道进行跟踪。
超过30个GPS跟踪器型号受到影响
Avast研究人员表示,他们在物联网设备制造商深圳i365-Tech生产的GPS追踪器T8 Mini中发现了这些问题。
然而,随着他们的研究进展,Avast表示这些问题还影响了30多种其他型号的GPS跟踪器,这些型号均由同一供应商制造,有些甚至以白标产品的形式出售,带有其他公司的标识。
所有型号共享相同的后端基础设施,包括GPS跟踪器报告的云服务器,客户通过浏览器登录以检查跟踪器位置的Web面板,以及连接到同一云服务器的类似移动应用程序。
但所有这些基础设施都充满了漏洞。虽然Avast在其报告中详述了几个问题,但最大的问题是所有用户帐户(来自移动应用程序或Web面板)都依赖于易于猜测的用户ID和密码。
用户ID基于GPS跟踪器的IMEI(国际移动设备身份)代码并且是相同的,而密码对于所有设备都是相同的 - 123456。
这意味着黑客可以通过逐个浏览所有用户ID,并使用相同的123456密码,对深圳i365-Tech的云服务器发起自动攻击,并接管用户的帐户。
虽然用户可以在首次登录帐户后更改默认设置,但Avast表示,在扫描超过四百万个用户ID时,发现超过600,000个帐户仍在使用默认密码。
普遍跟踪和其他攻击
许多顾客购买这些设备来跟踪宠物,老人家庭成员,儿童,汽车或其他贵重物品。获得访问其中一个客户帐户的攻击者可以跟踪受害者,但他们也可以欺骗跟踪器的位置,绑架或窃取有价值的产品,而无需业主注意,直到为时已晚。
此外,这些设备配有麦克风和SIM卡,因此儿童或老年人可以向或家庭成员发出SOS呼叫。
Avast表示,帐户黑客可以滥用此功能拨打自己的电话号码,接听电话,然后悄悄监视GPS跟踪器所有者。
默认密码也会使供应商的利润处于危险之中
但是这些默认密码对于这些GPS跟踪器的所有者来说并不危险。阿瓦斯特说,公司本身就处于危险之中。
研究人员解释说,云服务的帐户是在制造GPS跟踪器后立即创建的。他们表示,恶意竞争对手可能会在销售这些设备之前劫持这些帐户并获取密码,从而有效锁定帐户并为深圳i365-Tech及其经销商在未来的路上制造客户支持问题。
由于Avast的研究仅考虑了400万用户ID,因此使用默认密码的GPS跟踪器的实际数量可能要高得多。
不幸的是,对于每个人来说,问题一直持续到今天,因为深圳i365-Tech在公司试图警告供应商时没有回应Avast的电子邮件。ZDNet姊妹网站CNET的类似联系尝试也没有成功。