英国安全企业Fidus Information Security最近披露,由某家中国企业制造的GPS定位器含有多个重大的安全漏洞,将允许远程黑客得知用户位置、激活麦克风以进行窃听,或是重置设备设置,而且该企业与多个品牌合作,在全球市场皆有铺货,估计光是在英国就有超过1万台含有相关漏洞的GPS定位器。
GPS定位器通常是为老人或小孩所设计的,可在超出活动范围时发送警报给紧急联系人,电池续航力高达数月。新款的GPS定位器配有独立的电话号码,可通过移动网络创建连接,允许亲友借由文本短信发送命令以得知用户位置,拨打电话以激活用户的麦克风,设置警报,还能锁住设备,变更设备密码,重启或是重置设备等。
它内置了PIN码功能,当亲友要发送命令时必须先输入PIN码,不过在该设备的默认值中,PIN码功能是关闭的,此外,有两项命令完全不需PIN码,也即重启设备与重置设备,而就算激活了PIN码,一但设备自远程被重置,亲友完全不需要PIN码就能发送命令,黑客也如是。
于是,设备上的保护功能几乎是无效的。意味着黑客只要知道设备的电话号码就能恣意发送各种命令,得知用户的即时位置,或是自远程激活设备麦克风,窃听用户或四周的声音。
研究人员猜测这些设备的电话号码是大批购买的,便以手上所持有的GPS关注设备电话号码进行猜测,一次发送命令给2,500个号码,结果收到175个GPS关注设备的回应。
Fidus指出,要修补相关漏洞并不难,只要规定任何的配置变更都必须输入PIN码,以及仅限紧急联系人得以要求地点信息或激活设备麦克风即可,但这些设备已被不同的品牌销售到世界各地,可能必须执行大规模的召回活动才能修补。
Fidus并未公布该设备的中国制造商名称,也未披露销售该设备的品牌企业,仅说除了英国之外,在美国、澳洲、芬兰及德国都能看到该产品的踪迹。