English
Русский
???
????????????
日本語
- 企業(yè)推廣分銷B2B平臺
- 累計為企業(yè)宣傳展示1.2億次以上
- 分銷模式,讓每個人都愿意幫您做生意
- 30多萬銷售員注冊,快速對接銷售渠道
定位儀安全嗎?是不是都能被黑客輕易攻破,了如指掌
GPS定位儀,很多人都用過。在某寶上搜索:“GPS定位儀”“兒童定位手表”“寵物定位儀”會出現(xiàn)一大堆。這類設備的核心原理都相同,只需要把含有定位芯片的產(chǎn)品放到人身上或者車里,就可以實現(xiàn)對目標的位置追蹤。
這種產(chǎn)品由于技術含量比較低,所以大量的寨廠在生產(chǎn)。不過,來自360的網(wǎng)絡攻防實驗室的童鞋最近針對這些定位儀做了研究,結論是四個字:漏洞成災。
【某寶上出售的汽車GPS定位儀】
先科普一下:定位儀服務的工作原理是這樣滴,每一個定位儀的信號都會匯總到云平臺上,云平臺會根據(jù)用戶的請求,把目標的位置傳送給用戶。
但是,這些云平臺存在著大量漏洞:
首先,平臺的運營者可以輕易看到用戶的位置數(shù)據(jù)。
其次,在云平臺上,存在大量可未授權訪問的接口,黑客通過協(xié)議規(guī)范調(diào)用這些接口,可獲取任意用戶的信息,修改其密碼,甚至定位其位置。
研究員通過接口將管理員的密碼初始化,然后登錄查看可以看到,僅僅這一個平臺,就有超過25萬的設備,而當前在線設備就有2.7萬。
【通過讀取GPS平臺數(shù)據(jù),發(fā)現(xiàn)有2.7萬在線設備】
對于一些汽車定位儀而言,一般購買定位儀都是某些組織為了方便車輛管理,所以會錄入大量的車輛型號和人員信息以方便管理。這些信息,統(tǒng)統(tǒng)都暴露在幾乎沒有防護的危險之中。
【進入GPS云平臺可以輕易獲取車主姓名和車牌號信息】
如圖所示,如果車輛的型號、位置、軌跡、人員這些高度精確的信息都掌握在別有用心的人手中,那么:
1、針對目標的搶劫、詐騙就可以非常輕易地完成,但這還不是最危險的。
2、由于大多數(shù)汽車定位儀通過OBD接口連接車機,黑客可以利用SQL注入等方式奪取汽車的控制權,在行駛中突然斷電斷油,會對車上的乘客造成直接人身安全威脅。
【伊朗的用戶都被“看光光”了】
由于可以輕易進入云平臺的管理員模式,查看所有平臺上的車輛位置,好奇的研究員甚至在中東和歐洲找到了不少被定位的汽車。
研究員翻遍了某寶,希望能夠找到?jīng)]有漏洞的產(chǎn)品,但是最終失望而歸。
我們發(fā)現(xiàn)所有小廠商的硬件背后都用了通用的程序,一套程序有漏洞,其他的都有漏洞,無一幸免。
【汽車軌跡、車主姓名一覽無余】
加上兒童手表、寵物定位儀等類似設備,從淘寶的銷量來估算,已經(jīng)賣出了超過100萬臺有漏洞的設備。
這100萬臺設備的主人里有沒有你呢?鑒于現(xiàn)在很多童鞋對于GPS定位有剛需,團隊給出了建議:
1、購買大廠商出品的定位儀,安全級別相對較高,不會出現(xiàn)低級漏洞。
2、購買前應當在網(wǎng)上搜索一下有沒有相關的安全漏洞。如果購買了產(chǎn)品發(fā)現(xiàn)有漏洞,建議用戶停止使用,等待廠商更新平臺漏洞。
