圖片來源:翻攝自https://twitter.com/FidusInfoSec/status/1126816175265071104

英國資安業者Fidus Information Security最近披露,由某家中國業者製造的GPS追蹤器含有多個重大的安全漏洞,將允許遠端駭客得知用戶位置、啟用麥克風以進行竊聽,或是重置裝置設定,而且該業者與多個品牌合作,在全球市場皆有舖貨,估計光是在英國就有超過1萬臺含有相關漏洞的GPS追蹤器。

GPS追蹤器通常是為老人或小孩所設計的,可在超出活動範圍時傳送警報予緊急聯絡人,電池續航力高達數月。新款的GPS追蹤器配有獨立的電話號碼,可透過行動網路建立連結,允許親友藉由文字簡訊傳送命令以得知用戶位置,撥打電話以啟用用戶的麥克風,設定警報,還能鎖住裝置,變更裝置密碼,重啟或是重置裝置等。

它內建了PIN碼功能,當親友要傳送命令時必須先輸入PIN碼,不過在該裝置的預設值中,PIN碼功能是關閉的,此外,有兩項命令完全不需PIN碼,亦即重啟裝置與重置裝置,而就算啟用了PIN碼,一但裝置自遠端被重置,親友完全不需要PIN碼就能傳送命令,駭客亦如是。

於是,裝置上的保護功能幾乎是無效的。意謂著駭客只要知道裝置的電話號碼就能恣意傳送各種命令,得知用戶的即時位置,或是自遠端啟用裝置麥克風,竊聽用戶或四周的聲音。

研究人員猜測這些裝置的電話號碼是大批購買的,便以手上所持有的GPS追蹤裝置電話號碼進行猜測,一次傳送命令給2,500個號碼,結果收到175個GPS追蹤裝置的回應。

Fidus指出,要修補相關漏洞並不難,只要規定任何的配置變更都必須輸入PIN碼,以及僅限緊急聯絡人得以要求地點資訊或啟用裝置麥克風即可,但這些裝置已被不同的品牌銷售到世界各地,可能必須執行大規模的召回活動才能修補。

Fidus並未公布該裝置的中國製造商名稱,也未揭露銷售此一裝置的品牌業者,僅說除了英國之外,在美國、澳洲、芬蘭及德國都能看到此一產品的蹤跡。


Advertisement

更多 iThome相關內容