Author:[email protected]
近日,在新聞中曝光了多起通過GPS定位設備,跟蹤綁架的事件(http://news.xinhuanet.com/legal/2015-11/15/c_128429526_2.htm)。很多用戶都來咨詢,有沒有方法進行檢測?于是就在市面上購買了一些GPS定位設備進行研究,研究發現這些GPS定位系統后臺采用的是通用的一套程序,其云平臺上存在多個高危漏洞,攻擊者利用漏洞可定位到使用該設備的任意用戶或車輛的當前位置,歷史軌跡,甚至可遠程切斷行駛車輛的油電。用戶使用GPS定位的物品、人員都是非常有價值的,如果這類平臺存在安全漏洞,反而將位置信息暴露給不法分子,這會對社會造成非常大的影響。
我們在淘寶上搜索gps定位裝置,發現絕大多數賣家銷售的主流gps定位系統均為同一套程序,均受到漏洞影響。
該系統的大致原理和架構如下:
在GPS定位裝置里裝有一張3G手機卡,定位裝置獲取到當前位置坐標后通過3g網絡傳輸到云監控平臺,用戶通過pc或者移動設備登錄監控平臺,即可定位綁定在自己賬號下的設備位置。
以下面這套月成交8000+,累計評價超過22000的定位裝置為例。
其云平臺使用.NET開發,登錄界面如下:
對于經銷商,輸入賬號密碼可控制其賬號下所有設備,對于一般用戶,選擇輸入IMEI和密碼可定位單一的設備位置。 通過研究發現,在其云平臺上,存在大量可未授權訪問的webservice接口,我們通過協議規范調用這些接口,可獲取任意用戶的信息,修改其密碼,甚至定位其位置。
通過接口將管理員的密碼初始化,然后登錄查看可以看到,僅僅這一個平臺,就有超過25萬的設備,當前在線設備就有2.7萬。
可以直接定位到這些設備的具體地理位置
可以獲取到使用該設備的車輛及人員的具體信息(電話、車牌號、姓名等)
可以定位到其車輛當前的具體位置:
還可以通過歷史數據分析車輛的行駛軌跡:
甚至可以直接遠程切斷行駛車輛的油電:
通過進一步的研究我們發現,該系統的webservice接口還存在有sql注入漏洞,通過在soap消息中插入惡意數據,我們甚至可直接控制該服務器。
研究發現,這套商業化的GPS定位程序使用量非常大,用戶遍布中國、歐洲、中東、非洲、東南亞等多個地區。
還包括一些中東地區,戰亂地區都比較喜歡用GPS跟蹤。這里就體現出GPS的應用場景了。
而且我們發現這套gps定位程序不僅僅被用于車輛定位,還衍生出了兒童手表、人員定位器甚至寵物定位等多個版本。
人員定位器
兒童手表
寵物定位
我們從淘寶銷售的gps定位裝置中選擇了多個銷量較大的商家測試,發現絕大多數平臺都存在漏洞,總數超過了100萬臺,以下是做的部分統計:
| 商家 | 總設備數量 |
|---|---|
| www.tourrun.net | 496805 |
| www.zg666gps.com | 253426 |
| www.indlifelocate.com | 252980 |
| ry.i365gps.com | 93638 |
| www.gpsjm.com | 55451 |
| gps.zg002gps.com | 42993 |
| www.mkcx.net | 41894 |
| www.aika168.com | 40586 |
| www.xmsyhy.com | 12645 |
| www.twogps.com | 3587 |
| www.lkgps.net | 3434 |
| ec-dbo.cn | 2961 |
如何發現自己的車輛有沒有被人裝上定位器?
很多人看到新聞都產生了顧慮,生怕自己的車輛是否被裝上了定位器。這里可以告訴大家幾個思路去排除,首先這類定位器是裝有強磁鐵的,所以車上除了這個定位器以外不會有其它的強磁設備,可以去一些磁力檢測儀來檢測。第二種方法是GPS定位系統是需要用GPS信號的定位車輛的,可以在一個信號屏蔽的環境下檢測車輛是否有GPS信號。第三個就是通過利用云平臺的漏洞檢測自己的車輛軌跡是否被跟蹤,這也是沒有辦法中的辦法了。
以后如何選用GPS定位平臺?
GPS定位的需求很多,因為GPS定位一方面是為了保障用戶,但是存在漏洞的被不法分子利用的話,就成了暴露用戶位置信息的一條路徑,往往需要GPS定位的都是有價值的東西,這就成了攻擊者的一塊福地。對于GPS產品應當選用可靠的,大品牌的產品。購買前應當在網上搜索一下有沒有相關的安全漏洞。如果購買了產品發現有漏洞,建議用戶停止使用,等待廠商更新平臺漏洞。