上百个GPS定位服务被曝漏洞,用户信息面临暴露风险

E安全1月5日讯 联网汽车安全问题又一次爆发!两名研究人员披露,上百款GPS和定位跟踪服务因使用简单易猜的默认密码(123456)和开放式API接口,导致其位置跟踪设备记录的信息存在暴露风险。除此之外,GPS和定位跟踪服务可能受到不安全的直接对象引用(IDOR)等漏洞的影响,将允许未经授权的第三方存取存放于服务中的资料,研究人员将这些漏洞统称为“Trackmageddon”。

这些安全问题可能暴露的信息包括:GPS坐标、电话号码、设备数据(IMEI、序列号、MAC地址等)、自定义分配名称,录音和图像以及其他个人数据。

哪些GPS位置追踪服务受影响?

这些GPS跟踪服务是从启用GPS的智能设备中收集地理位置数据的基本数据库,例如宠物追踪器、汽车追踪器、儿童跟踪器等设备。这些服务以设备为单位收集数据,并存储在数据库中。产品制造商将这些服务作为其智能设备的附带解决方案。

研究人员不确定他们发现了所有的脆弱域名,因为可能还有其他网站暴露数据。

这两名研究人员2017年11月就开始不断尝试与受影响的定位跟踪服务提供商取得联系,但收效甚微,只有4家公司修复漏洞。许多定位跟踪服务未在网站预留联系信息,不排除是中间商的可能性,所以问题或更加复杂,这增加了私下披露漏洞的难度。

研究人员举例称,涉及图像和录音时,查看受影响服务网站上的开放目录,信息就会曝光。鉴于这类数据关乎到用户的敏感信息,研究人员选择公开披露。

第一个做出回应并快速解决问题的是中间商 One2Track。

此后ThinkRace公司——GPS追踪设备的最大供应商之一/位置跟踪在线服务和软件的原始开发者——最终同意在公开信息发布前几个小时,修复了四个域名。

ThinkRace为一专门生产以安全及健身为导向的追踪产品,从个人用的GPS追踪器、GPS手表、GPS卡、宠物追踪器、单车追踪器、汽车追踪器到健身手环等,也替全球逾30个国家的企业、电信业者或政府提供代工服务。

受影响的服务及修复情况

以下4个服务已修复漏洞:

https://www.one2trackgps.com (2017年11月27日修复)

http://kiddo-track.com ((2017年11月27日修复)

http://www.amber360.com ((2017年11月27日修复)

http://tr.3g-elec.com (2017年12月18日修复,子域名已移除)

多个在线服务不再受研究人员的PoC代码影响,但由于研究人员未收到厂商的修复通知,因此结果无法确定。

http://www.nikkogps.com ( 域名于2017年11月30日过期)

http://www.igps.com.my (API返回错误)

http://app.gpsyeah.com (仅API访问受限)

http://gps.nuoduncar.com (整个页面返回错误代码500)

http://hytwuliu.cn (服务器超时)

http://www.tourrun.net (服务器超时)

http://vnetgps.net (API似乎只返回空数据)

http://www.999gpstracker.com (API返回错误)

http://www.trackerghana.com (API返回错误)

http://www.suntrackgps.com (API返回错误)

http://www.sledovanivozidel.eu (API返回错误)

http://www.response1gps.com (API返回错误)

http://www.inosiongps.com (API返回错误)

http://www.carzongps.com (API返回错误)

http://kids.topwatchhk.com (修复)

提供商声称将在2018年1月2日16:00修复漏洞:

未修复的在线服务如下:

http://www.gps958.com

http://m.999gps.net

http://www.techmadewatch.eu

http://www.jimigps.net

http://www.9559559.com

http://www.goicar.net

http://www.tuqianggps.com

http://vitrigps.vn

http://www.coogps.com

http://greatwill.gpspingtai.net

http://www.cheweibing.cn

http://car.iotts.net

http://carm.gpscar.cn

http://watch.anyixun.com.cn

http://www.007hwz.com

http://www.thirdfang.com

http://www.wnxgps.cn

http://binding.gpsyeah.net

http://chile.kunhigps.cl

http://portal.dhifinder.com

http://www.bizgps.net

http://www.gpsmarvel.com

http://www.mygps.com.my

http://www.mygpslogin.net

http://www.packet-v.com

http://login.gpscamp.com

http://www.tuqianggps.net

http://tuqianggps.net

http://www.dyegoo.net

http://tracker.gps688.com

http://www.aichache.cn

http://gtrack3g.com

http://www.ciagps.com.tw

http://www.fordonsparning.se

http://www.gm63gps.com

http://yati.net

http://www.mytracker.my

http://www.istartracker.com

http://www.twogps.com

http://www.gpsyue.com

http://www.xmsyhy.com

http://www.icaroo.com

http://mootrack.net

http://spaceeyegps.com

http://www.freebirdsgroup.com

http://www.gpsmitramandiri.com

http://www.silvertrackersgps.com

http://www.totalsolutionsgps.com

http://567gps.com

http://gps.tosi.vn

http://gps.transport-duras.com

http://thietbigps.net

http://mygps.co.id

http://www.gpsuser.net

http://www.mgoogps.com

http://www.gpscar.cn

http://www.aichache.net

http://www.gpsline.cn

http://2.tkstargps.net

http://ephytrack.com

http://www.squantogps.com

http://www.tkgps.cn

http://vip.hustech.cn

http://www.blowgps.com

http://www.zjtrack.com

http://fbgpstracker.com

http://gps.gpsyi.com

http://www.crestgps.com

http://www.spstrackers.com

http://en.gps18.com

http://en.gpsxitong.com

http://gps18.com

http://en2.gps18.com

http://ry.gps18.com

http://www.ulocate.se

http://classic.gpsyeah.com

http://www.gpsyeahsupport.top

http://gpsui.net

http://vmui.net

我使用的设备受到影响,该怎么办?

研究人员建议用户修改密码,尽可能多地从设备和定位跟踪服务删除数据。为了避免进一步泄露数据,用户还可选择停止使用受影响的设备。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/729077847.shtml

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180105A0AK4K00?refer=cp_1026

同媒体快讯

相关快讯

扫码关注云+社区