GPS定位器,很多人都用过。在某宝上搜索:“GPS定位器”“儿童定位手表”“宠物定位器”会出现一大堆。这类设备的核心原理都相同,只需要把含有定位芯片的产品放到人身上或者车里,就可以实现对目标的位置追踪。
这种产品由于技术含量比较低,所以大量的寨厂在生产。不过,来自360的 *** 攻防实验室的童鞋最近针对这些定位器做了研究,结论是四个字:漏洞成灾。
【某宝上出售的汽车GPS定位器】
先科普一下:定位器服务的工作原理是这样滴,每一个定位器的信号都会汇总到云平台上,云平台会根据用户的请求,把目标的位置传送给用户。
但是,这些云平台存在着大量漏洞:
首先,平台的运营者可以轻易看到用户的位置数据。
其次,在云平台上,存在大量可未授权访问的接口,黑客通过协议规范调用这些接口,可获取任意用户的信息,修改其密码,甚至定位其位置。
研究员通过接口将管理员的密码初始化,然后登录查看可以看到,仅仅这一个平台,就有超过25万的设备,而当前在线设备就有2.7万。
【通过读取GPS平台数据,发现有2.7万在线设备】
360 *** 攻防实验室研究员刘健皓告诉雷锋网(公众号:雷锋网):
对于一些汽车定位器而言,一般购买定位器都是某些组织为了方便车辆管理,所以会录入大量的车辆型号和人员信息以方便管理。这些信息,统统都暴露在几乎没有防护的危险之中。
【进入GPS云平台可以轻易获取车主姓名和车牌号信息】
如图所示,如果车辆的型号、位置、轨迹、人员这些高度精确的信息都掌握在别有用心的人手中,那么:
1、针对目标的抢劫、诈骗就可以非常轻易地完成,但这还不是最危险的。
2、由于大多数汽车定位器通过OBD接口连接车机,黑客可以利用SQL注入等方式夺取汽车的控制权,在行驶中突然断电断油,会对车上的乘客造成直接人身安全威胁。
【伊朗的用户都被“看光光”了】
由于可以轻易进入云平台的管理员模式,查看所有平台上的车辆位置,好奇的研究员甚至在中东和欧洲找到了不少被定位的汽车。
研究员翻遍了某宝,希望能够找到没有漏洞的产品,但是最终失望而归。刘健皓说:
我们发现所有小厂商的硬件背后都用了通用的程序,一套程序有漏洞,其他的都有漏洞,无一幸免。
【汽车轨迹、车主姓名一览无余】
加上儿童手表、宠物定位器等类似设备,从 *** 的销量来估算,已经卖出了超过100万台有漏洞的设备。
这100万台设备的主人里有没有你呢?鉴于现在很多童鞋对于GPS定位有刚需,团队给出了建议:
1、购买大厂商出品的定位器,安全级别相对较高,不会出现低级漏洞。
2、购买前应当在网上搜索一下有没有相关的安全漏洞。如果购买了产品发现有漏洞,建议用户停止使用,等待厂商更新平台漏洞。
九零后它是一群被标签化的人群。从出世之日逐渐,这一人群就内置异议。“90后创业者”们则好像早已习惯这世界浓浓的故意,而且用她们九零后特有的心态对于此事呲之以鼻。bilibili网址送给新一代的青年人宣...
《英雄同盟》(简称lol)是由美国Riot Games开拓,中国大陆地域由腾讯游戏运营的网络游戏。 《英雄同盟》除了即时计谋、团队作战外,还拥有近二百位特色各异的英雄、富厚的舆图及玩法、自动匹配的战...
中新网10月3日电 据希腊《中希时报》报道,当地时间2日,正在布鲁塞尔参加欧盟特别峰会的希腊总理米佐塔基斯表示,他对会议关于欧盟与土耳其关系的讨论结果表示满意。 米佐塔基斯表示,“欧盟明确发...
专业盗取微信密码,开房查询,通话记录查询,查询微信聊天记录,非常靠谱!在这个互联网飞速发展的时代,相信每个人都能感觉到互联网让我们的生活更加方便,无论是社交,购物,工作等等。最明显的一个是我们使用最多...
每日要闻为什么要进行手机的虚拟定位?现代科技日新月异的急速发展,以智能手机为载体的新科技正在让我们的生活变得极其方便和快捷,但是手机App窃取个人隐私和过度收集用户信息的现象却早已不是新的问题,人们现...
在即将到来的2019年,我想每个人对新的一年都有很多期望。如果你手里有现金,想做生意,2019年哪个行业的发展前景最好?本文汇集了十大行业的相关信息,供您参考。 数据显示,近年来中国在线旅游业的复合...