频道栏目
首页 > 安全 > 网络安全 > 正文

上百个GPS定位服务漏洞曝光用户信息面临暴露风险

2018-01-08 16:33:43      个评论      
收藏   我要投稿

联网汽车安全问题又一次爆发!两名研究人员披露,上百款GPS和定位跟踪服务因使用简单易猜的默认密码(123456)和开放式API接口,导致其位置跟踪设备记录的位置等信息存在暴露风险。除此之外,GPS和定位跟踪服务可能受到不安全的直接对象引用(IDOR)等漏洞的影响,将允许未经授权的第三方存取存放于服务中的资料,研究人员将这些漏洞统称为“Trackmageddon”。

\

这些安全问题可能暴露的信息包括:GPS坐标、电话号码、设备数据(IMEI、序列号、MAC地址等)、自定义分配名称,录音和图像以及其他个人数据。

哪些GPS位置追踪服务受影响?

这些GPS跟踪服务是从启用GPS的智能设备中收集地理位置数据的基本数据库,例如宠物追踪器、汽车追踪器、儿童跟踪器等设备。这些服务以设备为单位收集数据,并存储在数据库中。产品制造商将这些服务作为其智能设备的附带解决方案。

研究人员不确定他们发现了所有的脆弱域名,因为可能还有其他网站暴露数据。

上百个GPS定位服务被曝漏洞,用户信息面临暴露风险-E安全

这两名研究人员2017年11月就开始不断尝试与受影响的定位跟踪服务提供商取得联系,但收效甚微,只有4家公司修复漏洞。许多定位跟踪服务未在网站预留联系信息,不排除是中间商的可能性,所以问题或更加复杂,这增加了私下披露漏洞的难度。

研究人员举例称,涉及图像和录音时,查看受影响服务网站上的开放目录,信息就会曝光。鉴于这类数据关乎到用户的敏感信息,研究人员选择公开披露

第一个做出回应并快速解决问题的是中间商 One2Track。

此后ThinkRace公司——GPS追踪设备的最大供应商之一/位置跟踪在线服务和软件的原始开发者——最终同意在公开信息发布前几个小时,修复了四个域名。

ThinkRace为一专门生产以安全及健身为导向的追踪产品,从个人用的GPS追踪器、GPS手表、GPS卡、宠物追踪器、单车追踪器、汽车追踪器到健身手环等,也替全球逾30个国家的企业、电信业者或政府提供代工服务。

受影响的服务及修复情况

以下4个服务已修复漏洞:

https://www.one2trackgps.com (2017年11月27日修复)

http://kiddo-track.com ((2017年11月27日修复)

http://www.amber360.com ((2017年11月27日修复)

http://tr.3g-elec.com (2017年12月18日修复,子域名已移除)

多个在线服务不再受研究人员的PoC代码影响,但由于研究人员未收到厂商的修复通知,因此结果无法确定。

http://www.nikkogps.com ( 域名于2017年11月30日过期)

http://www.igps.com.my (API返回错误)

http://app.gpsyeah.com (仅API访问受限)

http://gps.nuoduncar.com (整个页面返回错误代码500)

http://hytwuliu.cn (服务器超时)

http://www.tourrun.net (服务器超时)

http://vnetgps.net (API似乎只返回空数据)

http://www.999gpstracker.com (API返回错误)

http://www.trackerghana.com (API返回错误)

http://www.suntrackgps.com (API返回错误)

http://www.sledovanivozidel.eu (API返回错误)

http://www.response1gps.com (API返回错误)

http://www.inosiongps.com (API返回错误)

http://www.carzongps.com (API返回错误)

http://kids.topwatchhk.com (修复)

提供商声称将在2018年1月2日16:00修复漏洞:

http://manage.5gcity.com (partially fixed between 2017-12-15 and 2017-12-22, only API access restricted)

http://grapi.5gcity.com (partially fixed on 2018-01-02, API access restricted)

http://wagps.net

http://www.wagps.net

http://love.iotts.net

未修复的在线服务如下:

http://www.gps958.com

http://m.999gps.net

http://www.techmadewatch.eu

http://www.jimigps.net

http://www.9559559.com

http://www.goicar.net

http://www.tuqianggps.com

http://vitrigps.vn

http://www.coogps.com

http://greatwill.gpspingtai.net

http://www.cheweibing.cn

http://car.iotts.net

http://carm.gpscar.cn

http://watch.anyixun.com.cn

http://www.007hwz.com

http://www.thirdfang.com

http://www.wnxgps.cn

http://binding.gpsyeah.net

http://chile.kunhigps.cl

http://portal.dhifinder.com

http://www.bizgps.net

http://www.gpsmarvel.com

http://www.mygps.com.my

http://www.mygpslogin.net

http://www.packet-v.com

http://login.gpscamp.com

http://www.tuqianggps.net

http://tuqianggps.net

http://www.dyegoo.net

http://tracker.gps688.com

http://www.aichache.cn

http://gtrack3g.com

http://www.ciagps.com.tw

http://www.fordonsparning.se

http://www.gm63gps.com

http://yati.net

http://www.mytracker.my

http://www.istartracker.com

http://www.twogps.com

http://www.gpsyue.com

http://www.xmsyhy.com

http://www.icaroo.com

http://mootrack.net

http://spaceeyegps.com

http://www.freebirdsgroup.com

http://www.gpsmitramandiri.com

http://www.silvertrackersgps.com

http://www.totalsolutionsgps.com

http://567gps.com

http://gps.tosi.vn

http://gps.transport-duras.com

http://thietbigps.net

http://mygps.co.id

http://www.gpsuser.net

http://www.mgoogps.com

http://www.gpscar.cn

http://www.aichache.net

http://www.gpsline.cn

http://2.tkstargps.net

http://ephytrack.com

http://www.squantogps.com

http://www.tkgps.cn

http://vip.hustech.cn

http://www.blowgps.com

http://www.zjtrack.com

http://fbgpstracker.com

http://gps.gpsyi.com

http://www.crestgps.com

http://www.spstrackers.com

http://en.gps18.com

http://en.gpsxitong.com

http://gps18.com

http://en2.gps18.com

http://ry.gps18.com

http://www.ulocate.se

http://classic.gpsyeah.com

http://www.gpsyeahsupport.top

http://gpsui.net

http://vmui.net

我使用的设备受到影响,该怎么办?

研究人员认为,大多数这些定位跟踪服务运行的是易受攻击的ThinkRace(尚锐科技)定位跟踪软件版本。研究人员表示已通知ThinkRace团队,该公司也已发布补丁。(这一段可以不要,发微信的时候)

研究人员建议用户修改密码,尽可能多地从设备和定位跟踪服务删除数据。为了避免进一步泄露数据,用户还可选择停止使用受影响的设备。

上一篇:2018开年,微信、支付宝如何给我们上了安全的一课
下一篇:网络安全专员告诉你该如何保护网上购物安全
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站