GPS定位器，很多人都用過。在某寶上搜索：“GPS定位器”“兒童定位手表”“寵物定位器”會出現(xiàn)一大堆。這類設備的核心原理都相同，只需要把含有定位芯片的產(chǎn)品放到人身上或者車里，就可以實現(xiàn)對目標的位置追蹤。

這種產(chǎn)品由于技術含量比較低，所以大量的寨廠在生產(chǎn)。不過，來自360的網(wǎng)絡攻防實驗室的童鞋最近針對這些定位器做了研究，結論是四個字：漏洞成災。

【某寶上出售的汽車GPS定位器】

先科普一下：定位器服務的工作原理是這樣滴，每一個定位器的信號都會匯總到云平臺上，云平臺會根據(jù)用戶的請求，把目標的位置傳送給用戶。

但是，這些云平臺存在著大量漏洞：

首先，平臺的運營者可以輕易看到用戶的位置數(shù)據(jù)。

其次，在云平臺上，存在大量可未授權訪問的接口，黑客通過協(xié)議規(guī)范調(diào)用這些接口，可獲取任意用戶的信息，修改其密碼，甚至定位其位置。

研究員通過接口將管理員的密碼初始化，然后登錄查看可以看到，僅僅這一個平臺，就有超過25萬的設備，而當前在線設備就有2.7萬。

【通過讀取GPS平臺數(shù)據(jù)，發(fā)現(xiàn)有2.7萬在線設備】

360網(wǎng)絡攻防實驗室研究員劉健皓告訴雷鋒網(wǎng)：

對于一些汽車定位器而言，一般購買定位器都是某些組織為了方便車輛管理，所以會錄入大量的車輛型號和人員信息以方便管理。這些信息，統(tǒng)統(tǒng)都暴露在幾乎沒有防護的危險之中。

【進入GPS云平臺可以輕易獲取車主姓名和車牌號信息】

如圖所示，如果車輛的型號、位置、軌跡、人員這些高度精確的信息都掌握在別有用心的人手中，那么：

1、針對目標的搶劫、詐騙就可以非常輕易地完成，但這還不是最危險的。

2、由于大多數(shù)汽車定位器通過OBD接口連接車機，黑客可以利用SQL注入等方式奪取汽車的控制權，在行駛中突然斷電斷油，會對車上的乘客造成直接人身安全威脅。

【伊朗的用戶都被“看光光”了】

由于可以輕易進入云平臺的管理員模式，查看所有平臺上的車輛位置，好奇的研究員甚至在中東和歐洲找到了不少被定位的汽車。

研究員翻遍了某寶，希望能夠找到?jīng)]有漏洞的產(chǎn)品，但是最終失望而歸。劉健皓說：

我們發(fā)現(xiàn)所有小廠商的硬件背后都用了通用的程序，一套程序有漏洞，其他的都有漏洞，無一幸免。

【汽車軌跡、車主姓名一覽無余】

加上兒童手表、寵物定位器等類似設備，從淘寶的銷量來估算，已經(jīng)賣出了超過100萬臺有漏洞的設備。

這100萬臺設備的主人里有沒有你呢？鑒于現(xiàn)在很多童鞋對于GPS定位有剛需，團隊給出了建議：

1、購買大廠商出品的定位器，安全級別相對較高，不會出現(xiàn)低級漏洞。

2、購買前應當在網(wǎng)上搜索一下有沒有相關的安全漏洞。如果購買了產(chǎn)品發(fā)現(xiàn)有漏洞，建議用戶停止使用，等待廠商更新平臺漏洞。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。