“Trackmageddon”漏洞影响100＋个GPS和定位跟踪服务

近日，名为Vangelis Stykas和Michael Gruhn的两名安全研究人员发布了一份安全报告，详细阐述了一系列被他们命名为“Trackmageddon”的漏洞细节，据悉，这些安全漏洞会影响一些GPS和定位跟踪服务。

受到影响的这些GPS跟踪服务相当于一个基础数据库，其中存储着从智能GPS设备中收集到的地理位置，这些智能GPS设备包括宠物追踪器、汽车追踪器、儿童跟踪器以及其他“[insert_name]追踪器”产品。

数据是以设备为单位收集的，并存储在数据库中。产品制造商利用这些服务作为其智能设备的插入式解决方案，使其能够为他们产品的软件套件提供GPS跟踪功能。

“Trackmageddon”漏洞泄漏用户信息

两位研究人员认为，攻击者可以利用他们发现的漏洞集合从用户的这些服务中收集其地理位置数据。而他们发现的漏洞范围从“简单易破解的默认密码”到“暴露的文件夹”，从“不安全的API端点”到“不安全的直接对象引用（IDOR）漏洞”。

Stykas和Gruhn表示，攻击者可以使用“Trackmageddon”漏洞提取用户的GPS坐标、电话号码、设备数据（包括IMEI、序列号以及MAC地址等）以及其他可能存在的个人数据（这主要取决于跟踪服务和设备的具体配置）。

100多个跟踪服务无法识别和修补漏洞

在过去的几个月里，这两名研究人员一直在努力接触受影响的跟踪服务，但收效甚微，因为只有四家公司实施了修复措施来防止数据泄露。在很多情况下，这些追踪服务在其网站上没有留下任何联系信息，这就使得漏洞信息披露过程变得几乎难以实现。

该研究小组表示，在考虑披露“Trackmageddon”漏洞时，他们面临非常难以抉择的道德困境。一般情况下，他们会给相关企业更多的时间来解决这些安全问题，但是最终他们选择公开自己的研究成果，因为这些服务会泄漏非常敏感的用户信息，如果用户了解这一情况会立即采取行动，禁用相关服务、修改相关设置或移除相关数据来保障自身安全。

研究人员表示，移除数据的具体方式因设备和跟踪服务不同而存在差异，但是对于初学者而言，可以选择停止使用受影响的设备，如此跟踪服务将停止泄漏最近的信息。

自我检测方式

此外，研究人员还发布了一份关于“已修复（或可能已经修复）该安全漏洞”的服务列表，以及一份“仍然易受影响的”服务列表。其中已经修复漏洞的在线服务如下所示：

https://www.one2trackgps.com （修复日期：2017-11-27）

http://kiddo-track.com（修复日期：2017-11-27）

http://www.amber360.com （修复日期：2017-11-27）

http://tr.3g-elec.com （修复日期：2017-12-18，子域已移除）

仍然易受影响的在线服务列表：

http://www.nikkogps.com（2017-11-30域名已过期）

http://www.igps.com.my（API 返回错误）

http://app.gpsyeah.com （仅API访问受限）

http://gps.nuoduncar.com （整个页面返回错误代码500）

http://hytwuliu.cn （服务器反应超时）

http://www.tourrun.net （服务器反应超时）

http://vnetgps.net （API似乎只返回空数据）

http://www.999gpstracker.com （API 返回错误）

http://www.trackerghana.com（API返回错误）

http://www.suntrackgps.com （API返回错误）

http://www.sledovanivozidel.eu （API返回错误）

http://www.response1gps.com （API返回错误）

http://www.inosiongps.com （API返回错误）

http://www.carzongps.com（API返回错误）

http://kids.topwatchhk.com （已修复）

需要特别指出的是，虽然有几个在线服务已经不再受我们发布的漏洞概念验证（Poc）代码的影响，但是由于我们自始至终未曾收到这些供应商关于他们已经修复了这些安全问题的通知，所以我们认为，这些服务可能仍然存在被攻击的危险。

未修复的在线服务列表：

http://www.gps958.com

http://m.999gps.net

http://www.techmadewatch.eu

http://www.jimigps.net

http://www.9559559.com

http://www.goicar.net

http://www.tuqianggps.com

http://vitrigps.vn

http://www.coogps.com

http://greatwill.gpspingtai.net

http://www.cheweibing.cn

http://car.iotts.net

http://carm.gpscar.cn

http://watch.anyixun.com.cn

http://www.007hwz.com

http://www.thirdfang.com

http://www.wnxgps.cn

http://binding.gpsyeah.net

http://chile.kunhigps.cl

http://portal.dhifinder.com

http://www.bizgps.net

http://www.gpsmarvel.com

http://www.mygps.com.my

http://www.mygpslogin.net

http://www.packet-v.com

http://login.gpscamp.com

http://www.tuqianggps.net

http://tuqianggps.net

http://www.dyegoo.net

http://tracker.gps688.com

http://www.aichache.cn

http://gtrack3g.com

http://www.ciagps.com.tw

http://www.fordonsparning.se

http://www.gm63gps.com

http://yati.net

http://www.mytracker.my

http://www.istartracker.com

http://www.twogps.com

http://www.gpsyue.com

http://www.xmsyhy.com

http://www.icaroo.com

http://mootrack.net

http://spaceeyegps.com

http://www.freebirdsgroup.com

http://www.gpsmitramandiri.com

http://www.silvertrackersgps.com

http://www.totalsolutionsgps.com

http://567gps.com

http://gps.tosi.vn

http://gps.transport-duras.com

http://thietbigps.net

http://mygps.co.id

http://www.gpsuser.net

http://www.mgoogps.com

http://www.gpscar.cn

http://www.aichache.net

http://www.gpsline.cn

http://2.tkstargps.net

http://ephytrack.com

http://www.squantogps.com

http://www.tkgps.cn

http://vip.hustech.cn

http://www.blowgps.com

http://www.zjtrack.com

http://fbgpstracker.com

http://gps.gpsyi.com

http://www.crestgps.com

http://www.spstrackers.com

http://en.gps18.com

http://en.gpsxitong.com

http://gps18.com

http://en2.gps18.com

http://ry.gps18.com

http://www.ulocate.se

http://classic.gpsyeah.com

http://www.gpsyeahsupport.top

http://gpsui.net

http://vmui.net

安全建议

研究人员认为，目前大多数的GPS跟踪服务仍然易受此次漏洞影响，相关用户可以通过以下安全建议保障自身安全：

1. 更改在线服务的密码

这些服务的默认密码好像是123456，即便是你的设备并未受到此次漏洞影响，使用默认的密码也难以保障你日后的安全。对于gpsui.net而言，你可能无法修改密码，因为该服务的密码似乎已经被硬编码到了跟踪设备中。但是，对于其他服务而言，设置一个强大的密码总比123456要安全得多！

2. 停止使用仍受影响的设备

只要管理你设备的在线服务仍然是脆弱的，那么修改密码也于事无补，而且现在不幸的是，除了停止使用受影响的设备外，我们没有其他更有效地方式来保护自己。

虽然你的位置记录仍然可以通过易受攻击的在线服务公开访问，除非该安全问题彻底解决、服务下线或是数据被移除。但是，通过停止使用受影响的设备，你可以防止更多的个人数据泄漏；你的活动位置受到监控；你的位置跟踪设备的其他功能被滥用等。

如果你正在使用OBD GPS追踪器来跟踪自己的汽车，并通过易受攻击的在线服务进行管理，我们建议你立即将其从汽车上移除下来并停止使用。

3. 从仍然脆弱的在线服务中移除尽可能多的数据

如果你对自己的设备进行了个性化设置，例如给它设置一个自定义名称（如你的汽车品牌），或通过在线服务分配的电话号码，我们建议您尽快更改和／或删除这些信息。虽然位置记录仍然存储在网站上，但是其中却没有关于分配给设备的姓名或电话号码等历史记录。这样的话，你至少能够从仍受影响的在线服务中删除一些隐私信息。

如果您的设备是通过gpsui.net或vmui.net进行管理的，那么您的位置记录仅会存储7天。因此，只要你在7天内不使用该设备就能够保证将自己的位置记录从在线服务中清除。但是，最新的位置数据仍然能够查询到，因此，我们建议您可以将设备从敏感的位置移动到不会威胁您隐私的地方，例如将其移动到一个公共停车场再重新激活设备。如此一来，7天后唯一存在的信息就是公共停车场的位置。