市面上有不少 GPS 定位裝置售賣,價格低至港幣 200 元,這些裝置可把 GPS 定位資訊上傳到互聯網,擁有人或監護人可透過手機或電腦,隨時了解裝置現時位置。不過有網絡安全專家指,在中國、歐洲被廣泛使用的一些 GPS 定位器只有極為薄弱的安全保護,預設密碼只設為123456,而用戶ID 更加是裝置的 IMEI 識別碼,容易被黑客入侵,掌握個人動向。
網絡安全公司 Avast Software 旗下實驗室就為其中一款市面有售賣的 GPS 定位器「T8 Mini」進行了詳細檢驗,包括其資料處理程序、裝置往雲端發送的資料、應用程式與雲端之間傳輸的資料等。
在登入網路平台後,用戶可詳細了解到這個裝置的目前位置、IMEI 製造識別碼、在線狀態、電池電量、目前位置的取得時間等。
研究發現,網路操作後台只用 HTTP 無加密方式傳輸資料,而並非加密化的 HTTPS。研究員指在這一刻產品已存在一個嚴重錯誤。
其後他們發現預設密碼被設為「123456」,而 ID 則為裝置的 IMEI 識別碼。而用戶要把「用戶名稱」連結到 ID,需要店家代為辦理。相信保安設定薄弱的原因,是為了方便這個程序。
研究員指,用戶名稱與密碼沒有在加密的情況下在互聯網上傳輸,如果密碼沒有被更改,惡意攻擊者、黑客可隨時劫持 GPS 定位器。除了隨時偵測到用戶位置資訊,更可遠隔操作 SOS 求救功能與進行盜聽。研究員也發現,所謂 IMEI 製造識別碼也並非真正的 IMEI 碼。
研究員把其中以「1703」為首的 ID 進行掃描,發現有 60 萬個裝置預設密碼為「123456」正在運行當中,至少有 16.7 萬部可自由被人在網上檢查到位置資訊。根據後台系統與其資料傳輸介面(API),受影響 GPS 定位應達到 30 多款,而並不單是這次測試的「T8 Mini」。
目前他們已經將問題通知製造商,到目前並不收到製造商任何回應。
The post 中歐60萬部GPS定位器保安薄弱 密碼「123456」用IMEI碼做ID appeared first on 香港 UNWIRE.HK 玩生活.樂科技.