【愛你定害你】GPS追蹤器漏洞 中間人攻擊子女被消失
驚住仔女、年長父母、寵物走失,所以買個 GPS 追蹤器俾佢哋,原意係好,但如果罪犯都睇到佢哋嘅位置,係咪仲唔安樂?
網絡安全軟件公司 Avast 研究員 Martin Hron 發現,估計喺 Amazon 上發售、價錢介乎港幣 200 至 400 蚊嘅 GPS 追蹤器材當中,有大約 60 萬部存在安全漏洞,可以俾罪犯掌握佩戴者嘅即時位置、暗中啟動收音咪,甚至篡改衛星定位位置,令用家誤以為佩戴者喺「安全」地方活動。
Martin 特別指出一系列由 Shenzhen i365 代理發售嘅 GPS 追蹤器,因為涉及 29 款產品之多,而漏洞存在喺幾方面。首先係機身 ID,研究員發現其中一款 T8 mini 嘅 ID 編號竟然就係機身 IMEI 中間五個位,換言之可以輕易估到產品嘅 ID,配合預設嘅 123456 登入密碼,令犯罪者可以監控到一批佩戴者嘅位置。其次係由於追踨器使用雲端軟件監控,但傳送嘅數據並無加密,只要罪犯發動中間人攻擊(Man in the Middle attack),將傳送數據攔截落嚟,又可以輕易睇到位置數據,甚至可以篡改位置數據後再傳返去被監控嘅一方,偽造佩戴者嘅位置,如果罪犯有心綁架,就可以有更充裕嘅時間唔俾人發現。
除此之外,對於有流動網絡通訊功能嘅型號,罪犯亦可以控制器材向特定電話號碼發出短訊,從而掌握追蹤器所使用嘅電話號碼,然後向追蹤器推送更新韌體指令,進一步增加可使用嘅武器,例如啟動收音咪等等。Martin 話已嘗試聯絡幾間產品生產商去修復漏洞,不過一個回覆都未收過,所以就決定公開研究報告,等用家知道當中嘅漏洞,即刻修改登入密碼,又或購買可靠品牌嘅產品。唔想仔女、家人或寵物被消失,就要快啲行動喇。
