漏洞通告已数月,但仍仅有4家网站运营商证实修复。
这是一场IoT噩梦,本可以被完全避免掉的。
两名研究人员曝光GPS服务问题:使用开放API和简单口令(123456)的数百GPS服务可致大量隐私问题,包括直接跟踪。而且,这些脆弱服务中很多都含有开放目录,暴露出登录数据。
对有些人而言,这两名研究人员揭露的问题并不是什么新鲜事。早在2015年的Kiwicon大会上,就有人演示了某流行车辆跟踪定位设备中的漏洞。
但是,1月2日的披露大大扩宽了早前研究的范围,包含市场上采用 A8 迷你GPS跟踪器和 S8 数据线定位器的数百万设备。就像很多IoT设备一样,这些设备是由大量几乎毫无安全可言的白标转售商售出的。
暴露了什么?
研究发现,这些不安全的GPS服务会暴露出定位信息、设备模型及类型信息、IMEI码、手机号、自定义名称、音频记录和照片等等。
举个例子:除了经验证的数据暴露,gps958.com上还有可能读取定位历史信息,向设备发送指令(与通过短信发送的指令无异),激活或禁用地域警报。而且这些全都无需经过身份验证。
图像和音频记录则是通过受影响服务网站上的开放目录曝光的。
两名研究人员先是发现了一个调试界面,可以让他们在Web表单中输入API查询指令。一旦获悉该API可接受的参数,便可在并未于公开可见的目录中暴露该API的网站上查询该API。
通告数月,进展甚微
2017年11月起,两名研究人员就开始向受影响GPS服务发出通告,根据他们贴出的时间线,进展可谓缓慢。或许是因为这些服务大多是转售商在经营,他们甚至连个联系方式都没留,让两名研究人员的通告工作更加难以开展。
最初,只有一家中间商做出了响应,并在周末就修复了漏洞。这家中间商名为One2Track。
距离公开披露时间点仅数小时的时候,GPS跟踪设备大型供应商ThinkRace才最终同意修复其4个域名中的漏洞。而这一举动也让披露工作延迟了24小时。
研究人员认为,ThinkRace就是定位跟踪在线服务的原始开发商,只不过又再许可授权给了其他人。除了他们承诺修复的那4个域名,他们对曝出漏洞的其他脆弱网站其实毫无控制权。
怎么办?
截至发稿,4个域名上的问题得到了解决,15个域名不再响应自动化概念验证测试,可能也修复了漏洞;但这一结果并不代表什么。
最终,被发现的脆弱域名中,还有79个域名依然存在漏洞。虽然研究人员相信自己找出了所有脆弱域名,但他们不可能100%确信,可能有其他网站还在别的什么地方暴露着用户的数据。
消费者最好修改一下自己的口令(如果正在用默认口令,如果服务已经被修复了的话);并尽可能删除设备上的个人信息。否则,最好就别用这东西了。
只要管理着你设备的在线服务继续带洞运行,修改口令也解决不了任何问题。而且,除了弃用设备,目前你也做不了什么来防护自身了。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。