当前位置:网站首页 >> 旅游

上百万GPS定位设备程序存漏洞黑客可远程

时间:2019-05-15 07:05:09 来源:互联网 阅读:0次

随着物联的兴起,各种 GPS定位仪器迅速普及,很多家庭为汽车、宠物甚至孩子装上定位装置,然而发现,目前市场上流行的GPS定位装备在给用户带来方便的同时也存在程序漏洞,一旦被不法分子利用,将有可能产生车毁人亡事件。

Gps定位设备随意卖

在淘宝上、京东上看到许多GPS定位装备,有的设备销售量乃至超过10000台,非常火爆。大多数卖家销售的主流gps定位系统价格从100多元到400多元不等,这些设备用的用于车辆定位、车辆跟踪,车辆监控管理,有的定位器制作简单,个头小巧,只有一枚硬币大小,可以佩戴在书包、项圈等位置,用于防止老人、儿童、宠物丢失。一款大小的GPS追踪定位器可以牢牢吸在车上,一般震动都难以取下。

邀请360攻防实验室专家对这些GPS设备的云平台程序进行了监测,结果发现,云平台上存在多个高危漏洞,攻击者利用漏洞可定位到使用该设备的任意用户或车辆的当前位置,历史轨迹,甚至可远程切断行驶车辆的油电。

360攻防实验室专家贾文晓介绍,这些定位系统大多采取同样的架构原理,一般来说在GPS定位装置里装有一张3G卡,定位装置获取到当前位置坐标后通过3g络传输到云监控平台,用户通过pc或者移动设备登录监控平台,即可定位绑定在自己账号下的设备位置。

发现,商家多介绍这些装备的用处,多也只是提醒不能用于违法犯罪行为,友可以随意购买。

漏洞影响百万设备 可远程断油电

通过研究发现,在这款GPS定位装置的云平台上,存在大量可未授权访问的webservice接口,专家通过协议规范调用这些接口,可获取任意用户的信息,修改其密码,甚至定位其位置。更为危险的是,对于一般用户,选择输入IMEI和密码可定位单一的装备位置。然而经销商却可以通过输入账号密码可控制其账号下所有装备。仅仅这一个平台,就有超过25万的装备,当前装备就有2.7万。

专家对一台设备360攻防实验室专家对一款月成交8000个,累计评价超过22000次的定位装置进行了监测。专家很容易直接定位到这台设备安装的车辆的地点为长沙市某小区南101米,某美容美发店正西79米,定位非常准确,并且可以看到当时的行进速度为每小时62千米。

专家对该设备进行进一步破解,乃至可以获取到使用该设备的车辆及人员的具体信息包括、装备名称、用户姓名、设备号码等等。更加严重的是,利用这台设备行驶轨迹,甚至可以远程断油电。

随后,专家对淘宝多个销量较大的商家GPS设备程序进行测试,发现绝大多数平台都存在漏洞,涉及到的GPS定位设备总数超过了100万台。

出现缘由就是由于这个系统存在多个高危漏洞专家介绍,该系统的webservice接口还存在有sql注入漏洞,通过在soap消息中插入恶意数据,黑客乃至可直接控制该服务器。使人担忧的是,目前这套商业化的GPS定位程序使用量非常大,用户遍布中国、欧洲、中东、非洲、东南亚等多个地区。

购买前首先请专业部门测试漏洞

如果不法分子利用漏洞,对用户安全来说会造成很大影响。白帽子黑客团队神话团队负责人王英键表示,存在漏洞的被不法分子利用的话,就成了暴露用户位置信息的一条路径,不法分子可以随时跟踪用户,威逼用户生命财产安全。

王英键提示,用户也不用过于担心自己车辆被装上GPS,这类定位器是装有强磁铁的,所以车上除这个定位器可以去一些磁力检测仪来检测。第二种方法是GPS定位系统是需要用GPS信号的定位车辆的,可以在一个信号屏蔽的环境下检测车辆是否有GPS信号。

如果用户购买了产品,提请专业机构进行漏洞监测,一旦发现有漏洞,王英键建议用户停止使用,等待厂商更新平台漏洞。

痛经气血虚弱证表现
月经量多吃什么食物补
月经褐色量少什么原因

相关文章

一周热门

热点排行

热门精选

友情链接: 退房须知 社群新零售 产品介绍
媒体合作:

Copyright (c) 2011 八零CMS 版权所有 Inc.All Rights Reserved. 备案号:京ICP0000001号

RSS订阅网站地图