英國資安業者Fidus Information Security最近披露,由某家中國業者製造的GPS追蹤器含有多個重大的安全漏洞,將允許遠程***得知用戶位置、啓用麥克風以進行竊聽,或是重置裝置設定,而且該業者與多個品牌合作,在全球市場皆有鋪貨,估計光是在英國就有超過1萬臺含有相關漏洞的GPS追蹤器。GPS追蹤器通常是爲老人或小孩所設計的,可在超出活動範圍時傳送警報予緊急聯絡人,電池續航力高達數月。新款的GPS追蹤器配有獨立的電話號碼,可透過行動網絡建立鏈接,允許親友藉由文字簡訊傳送命令以得知用戶位置,撥打電話以啓用用戶的麥克風,設定警報,還能鎖住裝置,變更裝置密碼,重啓或是重置裝置等。
它內建了PIN碼功能,當親友要傳送命令時必須先輸入PIN碼,不過在該裝置的默認值中,PIN碼功能是關閉的,此外,有兩項命令完全不需PIN碼,亦即重啓裝置與重置裝置,而就算啓用了PIN碼,一但裝置自遠程被重置,親友完全不需要PIN碼就能傳送命令,***亦如是。於是,裝置上的保護功能幾乎是無效的。意謂着***只要知道裝置的電話號碼就能恣意傳送各種命令,得知用戶的實時位置,或是自遠程啓用裝置麥克風,竊聽用戶或四周的聲音。
研究人員猜測這些裝置的電話號碼是大批購買的,便以手上所持有的GPS追蹤裝置電話號碼進行猜測,一次傳送命令給2,500個號碼,結果收到175個GPS追蹤裝置的響應。Fidus指出,要修補相關漏洞並不難,只要規定任何的配置變更都必須輸入PIN碼,以及僅限緊急聯絡人得以要求地點信息或啓用裝置麥克風即可,但這些裝置已被不同的品牌銷售到世界各地,可能必須執行大規模的召回活動才能修補。Fidus並未公佈該裝置的中國製造商名稱,也未揭露銷售此一裝置的品牌業者,僅說除了英國之外,在美國、澳洲、芬蘭及德國都能看到此一產品的蹤跡。