深圳i365 Tech售出600,000個默認密碼為“ 123456”的GPS追蹤器

2018年8月，加利福尼亞州通過了一項法案，該法案旨在使物聯網（IoT）設備更加安全。它已經引起了一些爭議，一些人認為立法者沒有必要的專業知識來管理電子設備的安全性，而另一些人則認為雖然該法案引入了一些好的想法，但它應該更加具體，當它到來時遵守它制定的規則和條例。

很難說該法案是否足夠好，而且一旦它在明年初生效後就更難以預測它將如何實施。然而，毫無疑問，任何人都認為物聯網安全狀況是悲慘的，每個人都希望法律能夠幫助至少一點點。上週，來自Avast的研究人員提供了更多關於我們是如何迫切需要它工作的證據 。

默認用戶名和密碼使GPS跟踪器的安全性受到威脅

專家們對一些價格在25美元到50美元之間的GPS跟踪器的安全性感興趣，並且可以從亞馬遜和eBay等主要在線零售商那裡輕鬆購買。他們檢查的大多數跟踪器似乎都是由一家名為深圳i365 Tech的公司製造的，它們應該讓您有機會知道您的孩子，年邁的父母和祖父母以及寵物在任何時間的位置。

您可以通過登錄基於瀏覽器的門戶或Android應用程序獲取設備的確切坐標，並且由於跟踪器附帶SIM卡插槽，麥克風和揚聲器，您還可以呼叫設備或控制它通過短信指令。高端型號甚至配備了相機。

這聽起來像是一種相當簡單且相對便宜的方式來確保您關心的人是安全的。看一下Avast檢測過的跟踪器之一T8S Mini的產品頁面 ，你會發現，從安全角度來看，事情開始相當迅速地崩潰。

有一些方便的圖像和說明，用不完美的英語告訴用戶一旦購買他們的跟踪器他們需要做什麼。有一次，您將獲得有關如何首次登錄應用程序的說明。您需要使用設備的ID號（打開機箱後可見）和默認密碼 - “123456”。

問題應該非常明顯，但為了以防萬一，讓我們回顧一下。 GPS跟踪器（以及佩戴者）的位置受到易於獲取的用戶名和世界上最差密碼的保護 。當CNET的記者撰寫有關問題的文章時 ，他們要求深圳i365 Tech發表評論，一名發言人表示，在初次登錄後，用戶可以輕鬆地將默認密碼更改為更安全的密碼. 然而，他們沒有被迫這樣做，這意味著他們中的大多數人都不會打擾。

密碼本身無法解鎖帳戶，但Avast的研究人員發現，獲取產品ID（另一項所需的信息）也非常容易。有問題的ID是增量的。換句話說，如果您的GPS跟踪器的ID是“1000000001”，則緊跟您的跟踪器後面製造的跟踪器的ID是“1000000002”。如果攻擊者知道這一點，他們可以登錄未更改默認密碼的GPS跟踪器所有者的帳戶。

為了找出成功闖入的可能性有多大，Avast的專家掃描了400萬個增量ID，發現至少有60萬個深圳i365追踪器“存在於默認密碼中。”不過，除此之外還有更多。

默認登錄憑據不是唯一的問題

跟踪器受到極易猜測的登錄憑據保護這一事實是一個明顯的問題，但研究人員指出，這遠遠不是唯一的問題。基於瀏覽器的門戶和移動應用程序都設置為使用HTTP而不是HTTPS ，這意味著所有信息（包括用戶名，密碼和位置數據）都以純文本交換。這些信息中可能是插入跟踪器的SIM卡的電話號碼。

知道它可以讓攻擊者選擇調用跟踪器並竊聽佩戴者。他們還有機會向設備發送SMS命令，這本身就打開了一個充滿機遇的世界。例如，使用單個文本消息，他們可以更改跟踪器與之通信的服務器的IP，並以他們的方式重定向所有信息，有效地創建一個Man-in-the-Middle場景，並監視任何佩戴密鑰環的人設備很長一段時間。

Avast的專家發現GPS跟踪器的其他一些安全問題在網上廉價提供，顯然，深圳i365並不是唯一涉及的製造商。更多細節應盡快提供，在此之前，您可能希望推遲購買GPS追踪器。如果您已經擁有一個，至少要確保將默認密碼更改為獨特，安全且難以猜測的內容。