GPS定位器你敢買嗎?

來源:中國女性網 編輯:穎穎 點擊:日期:2016-01-27
這類設備的核心原理都相同,只需要把含有定位芯片的產品放到人身上或者車里,就可以實現對目標的位置追蹤。這種產品由于技術含量比較低,所以大量的寨廠在生產。不過,來自
友情提示:點擊圖片直接觀看下一頁或點擊按鈕自動播放

  這類設備的核心原理都相同,只需要把含有定位芯片的產品放到人身上或者車里,就可以實現對目標的位置追蹤。這種產品由于技術含量比較低,所以大量的寨廠在生產。不過,來自360的網絡攻防實驗室的童鞋最近針對這些定位器做了研究,結論是四個字:漏洞成災。

某寶上出售的汽車GPS定位器某寶上出售的汽車GPS定位器

  先科普一下:定位器服務的工作原理是這樣滴,每一個定位器的信號都會匯總到云平臺上,云平臺會根據用戶的請求,把目標的位置傳送給用戶。

  但是,這些云平臺存在著大量漏洞:

  首先,平臺的運營者可以輕易看到用戶的位置數據。其次,在云平臺上,存在大量可未授權訪問的接口,黑客通過協議規范調用這些接口,可獲取任意用戶的信息,修改其密碼,甚至定位其位置。

  研究員通過接口將管理員的密碼初始化,然后登錄查看可以看到,僅僅這一個平臺,就有超過25萬的設備,而當前在線設備就有2.7萬。

通過讀取GPS平臺數據,發現有2.7萬在線設備通過讀取GPS平臺數據,發現有2.7萬在線設備

  360網絡攻防實驗室研究員劉健皓告訴雷鋒網:

  對于一些汽車定位器而言,一般購買定位器都是某些組織為了方便車輛管理,所以會錄入大量的車輛型號和人員信息以方便管理。這些信息,統統都暴露在幾乎沒有防護的危險之中。

進入GPS云平臺可以輕易獲取車主姓名和車牌號信息進入GPS云平臺可以輕易獲取車主姓名和車牌號信息

  如圖所示,如果車輛的型號、位置、軌跡、人員這些高度精確的信息都掌握在別有用心的人手中,那么:

  1、針對目標的搶劫、詐騙就可以非常輕易地完成,但這還不是最危險的。

  2、由于大多數汽車定位器通過OBD接口連接車機,黑客可以利用SQL注入等方式奪取汽車的控制權,在行駛中突然斷電斷油,會對車上的乘客造成直接人身安全威脅。

伊朗的用戶都被“看光光”了伊朗的用戶都被“看光光”了

  由于可以輕易進入云平臺的管理員模式,查看所有平臺上的車輛位置,好奇的研究員甚至在中東和歐洲找到了不少被定位的汽車。

  研究員翻遍了某寶,希望能夠找到沒有漏洞的產品,但是最終失望而歸。劉健皓說:我們發現所有小廠商的硬件背后都用了通用的程序,一套程序有漏洞,其他的都有漏洞,無一幸免。

汽車軌跡、車主姓名一覽無余汽車軌跡、車主姓名一覽無余

  加上兒童手表、寵物定位器等類似設備,從淘寶的銷量來估算,已經賣出了超過100萬臺有漏洞的設備。

  這100萬臺設備的主人里有沒有你呢?鑒于現在很多童鞋對于GPS定位有剛需,團隊給出了建議:

  1、購買大廠商出品的定位器,安全級別相對較高,不會出現低級漏洞。

  2、購買前應當在網上搜索一下有沒有相關的安全漏洞。如果購買了產品發現有漏洞,建議用戶停止使用,等待廠商更新平臺漏洞。

?
Copyright © 2006-2016 ladye. 中國女性網 版權所有 Power by DedeCms
蘇ICP備13046240號-2
浙江快乐彩任3走势图