示意圖,與新聞事件無關。

安全研究人員Vangelis Stykas與Michael Gruhn本周二(1/2)指出,有上百款GPS追蹤裝置的線上服務含有安全漏洞,將允許未經授權的第三方存取存放於服務中的資料。

這些線上服務主要蒐集諸如寵物追蹤裝置、汽車追蹤裝置、小孩追蹤裝置或健身追蹤裝置等GPS追蹤裝置所傳輸的資料。

研究人員發現,相關服務擁有各種嚴重程度不一的安全漏洞,從容易猜測的預設密碼、不安全的API到不安全的直接物件參考等,將允許駭客成功取得使用者的坐標、電話號碼、裝置資料、上傳的照片或是個人資料,有些服務的漏洞還允許駭客傳送命令到裝置上。

特別的是,這些含有漏洞的線上服務大多數安裝了ThinkRace所開發的位置追蹤軟體。

ThinkRace為一專門生產以安全及健身為導向的追蹤產品,從個人用的GPS追蹤器、GPS手錶、GPS卡、寵物追蹤器、單車追蹤器、汽車追蹤器到健身手環等,也替全球逾30個國家的企業、電信業者或政府提供代工服務。

從ThinkRace的背景與發展規模來看,就不難理解研究人員為何能夠找到上百個含有漏洞的GPS線上服務了。例如,使用ThinkRace打造的線上服務都以123456為預設密碼。

除了ThinkRace與屈指可數的線上服務已經修補了安全漏洞之外,其它絕大多數的線上服務都未修補,研究人員則建議使用者變更密碼,在線上服務中移除自己的資料,或是在服務更新前停止使用受影響的裝置。


Advertisement

更多 iThome相關內容