越野车GPS追踪器暴露儿童的实时位置

 
Avast威胁实验室的研究人员发现，影响29种GPS跟踪器模型的若干漏洞可以监控儿童，宠物和宝贵财产的位置，从而显示实时位置数据。
深圳i365 Tech制造的GPS定位跟踪器存在安全漏洞，来自全球各国的60多万用户在亚马逊或eBay等各种电子商务平台上转售。
虽然这些跟踪器正在销售以保护一个人的孩子或宠物安全，但他们带来的缺陷暴露了他们收集并发送到云端的所有数据。
“作为父母，我们倾向于接受有助于保护孩子安全的技术，但我们必须精通我们购买的产品，”Avast产品交付负责人Leena Elias说。
受影响的GPS追踪模型
GPS追踪器中发现的漏洞
安全问题最初是在Avast威胁实验室的研究人员仔细研究T8迷你GPS追踪器后发现的。他们发现的第一个问题是用于跟踪器的移动应用程序通过不安全的网站传送的用户信息。
与跟踪器在线门户的所有通信都是未加密的，数据通过HTTP以纯文本形式发送，并将其暴露给拦截攻击。
“进一步的安全问题涉及用户帐户信息，它带有分配的ID号和默认密码123456，”Avast发现。
更糟糕的是，“跟踪器中的设计缺陷还可以使第三方”欺骗“(或伪造)用户的位置，或者访问麦克风进行窃听。”
鉴于所有跟踪器都使用默认密码，并且他们使用的用户名是每个设备的序列号，可以轻松地增加它并轻松访问所有跟踪器帐户。
一些GPS追踪器充满了安全漏洞
领导该研究团队的Avast高级研究员Martin Hron鼓励所有消费者在产品设计中选择内置安全性的GPS跟踪器。
对于那些已经购买了其中一个易受攻击的跟踪器的用户，Avast建议更改默认用户密码，尽管即使在这种情况下，设备发送到云端的未加密数据仍然可以被截获。
虽然安全漏洞存在于单一制造商的设备和移动应用程序中，但Avast的研究人员补充说，“Google Play和iOS App Store上的50个移动应用程序共享同一个未加密的平台。”
“我们已尽最大努力向制造商披露这些漏洞，但由于我们在标准时间窗口之后没有收到回复，我们现在向消费者发布此公共服务公告，强烈建议您停止使用这些设备， “Hron补充道。
有关如何发现漏洞的更多详细信息，以及每个易受攻击模型的受影响设备的确切数量以及可能的攻击媒介，都可以在Avast的威胁实验室博客上深入了解。
跟踪跟踪器的最后GPS位置
这不是第一次儿童的位置被有缺陷的GPS跟踪器暴露，研究人员上个月发现LeapFrog的儿童LeapPad平板电脑可以被黑客用来轻松定位并与使用它们的孩子互动，以及他们的网络钓鱼父母提供敏感信息。
早在2017年，欧洲消费者组织(BEUC)也发布了一项公共服务公告，警告称大多数儿童的GPS追踪智能手表都被塞满了各种安全漏洞，暴露了他们的位置或允许潜在的攻击者控制这些设备。