深圳i365 Tech售出600,000个默认密码为“ 123456”的GPS追踪器

2018年8月，加利福尼亚州通过了一项法案，该法案旨在使物联网（IoT）设备更加安全。它已经引起了一些争议，一些人认为立法者没有必要的专业知识来管理电子设备的安全性，而另一些人则认为虽然该法案引入了一些好的想法，但它应该更加具体，当它到来时遵守它制定的规则和条例。

很难说该法案是否足够好，而且一旦它在明年初生效后就更难以预测它将如何实施。然而，毫无疑问，任何人都认为物联网安全状况是悲惨的，每个人都希望法律能够帮助至少一点点。上周，来自Avast的研究人员提供了更多关于我们是如何迫切需要它工作的证据 。

默认用户名和密码使GPS跟踪器的安全性受到威胁

专家们对一些价格在25美元到50美元之间的GPS跟踪器的安全性感兴趣，并且可以从亚马逊和eBay等主要在线零售商那里轻松购买。他们检查的大多数跟踪器似乎都是由一家名为深圳i365 Tech的公司制造的，它们应该让您有机会知道您的孩子，年迈的父母和祖父母以及宠物在任何时间的位置。

您可以通过登录基于浏览器的门户或Android应用程序获取设备的确切坐标，并且由于跟踪器附带SIM卡插槽，麦克风和扬声器，您还可以呼叫设备或控制它通过短信指令。高端型号甚至配备了相机。

这听起来像是一种相当简单且相对便宜的方式来确保您关心的人是安全的。看一下Avast检测过的跟踪器之一T8S Mini的产品页面 ，你会发现，从安全角度来看，事情开始相当迅速地崩溃。

有一些方便的图像和说明，用不完美的英语告诉用户一旦购买他们的跟踪器他们需要做什么。有一次，您将获得有关如何首次登录应用程序的说明。您需要使用设备的ID号（打开机箱后可见）和默认密码 - “123456”。

问题应该非常明显，但为了以防万一，让我们回顾一下。 GPS跟踪器（以及佩戴者）的位置受到易于获取的用户名和世界上最差密码的保护 。当CNET的记者撰写有关问题的文章时 ，他们要求深圳i365 Tech发表评论，一名发言人表示，在初次登录后，用户可以轻松地将默认密码更改为更安全的密码. 然而，他们没有被迫这样做，这意味着他们中的大多数人都不会打扰。

密码本身无法解锁帐户，但Avast的研究人员发现，获取产品ID（另一项所需的信息）也非常容易。有问题的ID是增量的。换句话说，如果您的GPS跟踪器的ID是“1000000001”，则紧跟您的跟踪器后面制造的跟踪器的ID是“1000000002”。如果攻击者知道这一点，他们可以登录未更改默认密码的GPS跟踪器所有者的帐户。

为了找出成功闯入的可能性有多大，Avast的专家扫描了400万个增量ID，发现至少有60万个深圳i365追踪器“存在于默认密码中。”不过，除此之外还有更多。

默认登录凭据不是唯一的问题

跟踪器受到极易猜测的登录凭据保护这一事实是一个明显的问题，但研究人员指出，这远远不是唯一的问题。基于浏览器的门户和移动应用程序都设置为使用HTTP而不是HTTPS ，这意味着所有信息（包括用户名，密码和位置数据）都以纯文本交换。这些信息中可能是插入跟踪器的SIM卡的电话号码。

知道它可以让攻击者选择调用跟踪器并窃听佩戴者。他们还有机会向设备发送SMS命令，这本身就打开了一个充满机遇的世界。例如，使用单个文本消息，他们可以更改跟踪器与之通信的服务器的IP，并以他们的方式重定向所有信息，有效地创建一个Man-in-the-Middle场景并监视任何佩戴密钥环的人设备很长一段时间。

Avast的专家发现GPS跟踪器的其他一些安全问题在网上廉价提供，显然，深圳i365并不是唯一涉及的制造商。更多细节应尽快提供，在此之前，您可能希望推迟购买GPS追踪器。如果您已经拥有一个，至少要确保将默认密码更改为独特，安全且难以猜测的内容。