联网汽车安全问题又一次爆发!两名研究人员披露,上百款GPS和定位跟踪服务因使用简单易猜的默认密码(123456)和开放式API接口,导致其位置跟踪设备记录的位置等信息存在暴露风险。除此之外,GPS和定位跟踪服务可能受到不安全的直接对象引用(IDOR)等漏洞的影响,将允许未经授权的第三方存取存放于服务中的资料,研究人员将这些漏洞统称为“Trackmageddon”。
这些安全问题可能暴露的信息包括:GPS坐标、电话号码、设备数据(IMEI、序列号、MAC地址等)、自定义分配名称,录音和图像以及其他个人数据。
哪些GPS位置追踪服务受影响?
这些GPS跟踪服务是从启用GPS的智能设备中收集地理位置数据的基本数据库,例如宠物追踪器、汽车追踪器、儿童跟踪器等设备。这些服务以设备为单位收集数据,并存储在数据库中。产品制造商将这些服务作为其智能设备的附带解决方案。
研究人员不确定他们发现了所有的脆弱域名,因为可能还有其他网站暴露数据。
上百个GPS定位服务被曝漏洞,用户信息面临暴露风险-E安全
这两名研究人员2017年11月就开始不断尝试与受影响的定位跟踪服务提供商取得联系,但收效甚微,只有4家公司修复漏洞。许多定位跟踪服务未在网站预留联系信息,不排除是中间商的可能性,所以问题或更加复杂,这增加了私下披露漏洞的难度。
研究人员举例称,涉及图像和录音时,查看受影响服务网站上的开放目录,信息就会曝光。鉴于这类数据关乎到用户的敏感信息,研究人员选择公开披露
第一个做出回应并快速解决问题的是中间商 One2Track。
此后ThinkRace公司——GPS追踪设备的最大供应商之一/位置跟踪在线服务和软件的原始开发者——最终同意在公开信息发布前几个小时,修复了四个域名。
ThinkRace为一专门生产以安全及健身为导向的追踪产品,从个人用的GPS追踪器、GPS手表、GPS卡、宠物追踪器、单车追踪器、汽车追踪器到健身手环等,也替全球逾30个国家的企业、电信业者或政府提供代工服务。
受影响的服务及修复情况
以下4个服务已修复漏洞:
https://www.one2trackgps.com (2017年11月27日修复)
http://kiddo-track.com ((2017年11月27日修复)
http://www.amber360.com ((2017年11月27日修复)
http://tr.3g-elec.com (2017年12月18日修复,子域名已移除)
多个在线服务不再受研究人员的PoC代码影响,但由于研究人员未收到厂商的修复通知,因此结果无法确定。
http://www.nikkogps.com ( 域名于2017年11月30日过期)
http://www.igps.com.my (API返回错误)
http://app.gpsyeah.com (仅API访问受限)
http://gps.nuoduncar.com (整个页面返回错误代码500)
http://hytwuliu.cn (服务器超时)
http://www.tourrun.net (服务器超时)
http://vnetgps.net (API似乎只返回空数据)
http://www.999gpstracker.com (API返回错误)
http://www.trackerghana.com (API返回错误)
http://www.suntrackgps.com (API返回错误)
http://www.sledovanivozidel.eu (API返回错误)
http://www.response1gps.com (API返回错误)
http://www.inosiongps.com (API返回错误)
http://www.carzongps.com (API返回错误)
http://kids.topwatchhk.com (修复)
提供商声称将在2018年1月2日16:00修复漏洞:
http://manage.5gcity.com (partially fixed between 2017-12-15 and 2017-12-22, only API access restricted)
http://grapi.5gcity.com (partially fixed on 2018-01-02, API access restricted)
http://wagps.net
http://www.wagps.net
http://love.iotts.net
未修复的在线服务如下:
http://www.gps958.com
http://m.999gps.net
http://www.techmadewatch.eu
http://www.jimigps.net
http://www.9559559.com
http://www.goicar.net
http://www.tuqianggps.com
http://vitrigps.vn
http://www.coogps.com
http://greatwill.gpspingtai.net
http://www.cheweibing.cn
http://car.iotts.net
http://carm.gpscar.cn
http://watch.anyixun.com.cn
http://www.007hwz.com
http://www.thirdfang.com
http://www.wnxgps.cn
http://binding.gpsyeah.net
http://chile.kunhigps.cl
http://portal.dhifinder.com
http://www.bizgps.net
http://www.gpsmarvel.com
http://www.mygps.com.my
http://www.mygpslogin.net
http://www.packet-v.com
http://login.gpscamp.com
http://www.tuqianggps.net
http://tuqianggps.net
http://www.dyegoo.net
http://tracker.gps688.com
http://www.aichache.cn
http://gtrack3g.com
http://www.ciagps.com.tw
http://www.fordonsparning.se
http://www.gm63gps.com
http://yati.net
http://www.mytracker.my
http://www.istartracker.com
http://www.twogps.com
http://www.gpsyue.com
http://www.xmsyhy.com
http://www.icaroo.com
http://mootrack.net
http://spaceeyegps.com
http://www.freebirdsgroup.com
http://www.gpsmitramandiri.com
http://www.silvertrackersgps.com
http://www.totalsolutionsgps.com
http://567gps.com
http://gps.tosi.vn
http://gps.transport-duras.com
http://thietbigps.net
http://mygps.co.id
http://www.gpsuser.net
http://www.mgoogps.com
http://www.gpscar.cn
http://www.aichache.net
http://www.gpsline.cn
http://2.tkstargps.net
http://ephytrack.com
http://www.squantogps.com
http://www.tkgps.cn
http://vip.hustech.cn
http://www.blowgps.com
http://www.zjtrack.com
http://fbgpstracker.com
http://gps.gpsyi.com
http://www.crestgps.com
http://www.spstrackers.com
http://en.gps18.com
http://en.gpsxitong.com
http://gps18.com
http://en2.gps18.com
http://ry.gps18.com
http://www.ulocate.se
http://classic.gpsyeah.com
http://www.gpsyeahsupport.top
http://gpsui.net
http://vmui.net
我使用的设备受到影响,该怎么办?
研究人员认为,大多数这些定位跟踪服务运行的是易受攻击的ThinkRace(尚锐科技)定位跟踪软件版本。研究人员表示已通知ThinkRace团队,该公司也已发布补丁。(这一段可以不要,发微信的时候)
研究人员建议用户修改密码,尽可能多地从设备和定位跟踪服务删除数据。为了避免进一步泄露数据,用户还可选择停止使用受影响的设备。