GPS卫星定位平台漏洞成灾,用户位置信息告急

标签: 数据安全 文章 终端安全 gps 位置信息 | 发表时间:2016-01-05 03:12 | 作者:360安全卫士
分享到:
出处:http://www.freebuf.com

近日,新闻中曝光了多起通过GPS定位设备 跟踪绑架事件 。通过对市面上一些GPS定位设备进行研究,发现这些GPS定位系统后台采用的是 一套 通用程序,其云平台上存在多个高危漏洞,攻击者利用漏洞可定位到使用该设备的任意用户或车辆的当前位置,历史轨迹,甚至可远程切断行驶车辆的油电。

一、简介

我们在淘宝上搜索gps定位装置,发现绝大多数卖家销售的主流gps定位系统均为同一套程序,均受到漏洞影响。

该系统的大致原理和架构如下:

在GPS定位装置里装有一张3G手机卡,定位装置获取到当前位置坐标后通过3g网络传输到云监控平台,用户通过pc或者移动设备登录监控平台,即可定位绑定在自己账号下的设备位置。

二、漏洞详情

以下面这套月成交8000+,累计评价超过22000的定位装置为例。

其云平台使用.NET开发,登录界面如下:

对于经销商,输入账号密码可控制其账号下所有设备,对于一般用户,选择输入IMEI和密码可定位单一的设备位置。

通过研究发现,在其云平台上,存在大量可未授权访问的webservice接口,我们通过协议规范调用这些接口,可获取任意用户的信息,修改其密码,甚至定位其位置。

通过接口将管理员的密码初始化,然后登录查看可以看到,仅仅这一个平台,就有超过25万的设备,当前在线设备就有2.7万。

可以直接定位到这些设备的具体地理位置

可以获取到使用该设备的车辆及人员的具体信息(电话、车牌号、姓名等)

可以定位到其车辆当前的具体位置:

还可以通过历史数据分析车辆的行驶轨迹:

甚至可以直接远程切断行驶车辆的油电:

通过进一步的研究我们发现,该系统的webservice接口还存在有sql注入漏洞,通过在soap消息中插入恶意数据,我们甚至可直接控制该服务器。

三、漏洞影响

研究发现,这套商业化的GPS定位程序使用量非常大,用户遍布中国、欧洲、中东、非洲、东南亚等多个地区。

还包括一些中东地区,战乱地区都比较喜欢用GPS跟踪。这里就体现出GPS的应用场景了。

而且我们发现这套gps定位程序不仅仅被用于车辆定位,还衍生出了儿童手表、人员定位器甚至宠物定位等多个版本。

人员定位器

儿童手表

宠物定位

我们从淘宝销售的gps定位装置中选择了多个销量较大的商家测试,发现绝大多数平台都存在漏洞,总数超过了100万台,以下是做的部分统计:

www.tourrun.net  总设备数量:496805
www.zg666gps.com  总设备数量:253426
www.indlifelocate.com  总设备数量:252980
ry.i365gps.com 总设备数量:93638
www.gpsjm.com 总设备数量:55451
gps.zg002gps.com 总设备数量:42993
www.mkcx.net 总设备数量:41894
www.aika168.com总设备数量:40586
www.xmsyhy.com 总设备数量:12645
www.twogps.com总设备数量:3587
www.lkgps.net 总设备数量:3434
ec-dbo.cn总设备数量:2961

四、安全建议

如何发现自己的车辆有没有被人装上定位器?

很多人看到新闻都产生了顾虑,生怕自己的车辆是否被装上了定位器。这里可以告诉大家几个思路去排除,首先这类定位器是装有强磁铁的,所以车上除了这个定位器以外不会有其它的强磁设备,可以去一些磁力检测仪来检测。第二种方法是GPS定位系统是需要用GPS信号的定位车辆的,可以在一个信号屏蔽的环境下检测车辆是否有GPS信号。第三个就是通过利用云平台的漏洞检测自己的车辆轨迹是否被跟踪,这也是没有办法中的办法了。

以后如何选用GPS定位平台?

GPS定位的需求很多,因为GPS定位一方面是为了保障用户,但是存在漏洞的被不法分子利用的话,就成了暴露用户位置信息的一条路径,往往需要GPS定位的都是有价值的东西,这就成了攻击者的一块福地。对于GPS产品应当选用可靠的,大品牌的产品。购买前应当在网上搜索一下有没有相关的安全漏洞。如果购买了产品发现有漏洞,建议用户停止使用,等待厂商更新平台漏洞。

*作者:360安全卫士(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关 [gps 卫星 位置] 推荐:

GPS卫星定位平台漏洞成灾,用户位置信息告急

- - FreeBuf.COM | 关注黑客与极客
近日,新闻中曝光了多起通过GPS定位设备. 通过对市面上一些GPS定位设备进行研究,发现这些GPS定位系统后台采用的是 一套 通用程序,其云平台上存在多个高危漏洞,攻击者利用漏洞可定位到使用该设备的任意用户或车辆的当前位置,历史轨迹,甚至可远程切断行驶车辆的油电. 我们在淘宝上搜索gps定位装置,发现绝大多数卖家销售的主流gps定位系统均为同一套程序,均受到漏洞影响.

新一代 GPS 卫星加紧研发,预计 2014 年开始升空

- Thomas - Engadget 中国版
以冷战的背景开始研发,至今已然成为现代生活不可或缺的一部份的 GPS 全球导航卫星系统,却难免在技术上略显老态,毕竟从第一颗运转的 GPS 卫星于 1989 年发射至今,已经过了 20 多年的时间. 在这中间,虽然新发射的 GPS 卫星都有进行逐步的改良,但最终对于讯号精确度和强度的需求,意味着该是研发下一代 GPS 卫星的时候了.

带增强现实(AR)功能的GPS

- Fung - 煎蛋
日本 Pioneer 公司近日展示了他们先进的 GPS 导航仪技术,在这里面,我们看到了增强现实系统的应用. 在他们最新合作的汽车中,一个仪表盘会直接通过汽车前置摄像头,获取路面情况,并实时分析车距、车速等交通数据,且直接显示到摄像头的实时信息上. 这个东西能让开车变得更加简单,简单得就好似在玩山脊赛车一般.

GPS是如何扭曲时间的?

- 陈涛 - 果壳网 guokr.com - 果壳网
相对论的证据在你车上的GPS即全球定位系统里就能找到,GPS系统有24颗卫星,卫星发出有时间戳和自身位置的信息,而GPS只是接受信号. 你的GPS装置会记录从卫星上受到信息时的确切时间点,之后计算出信号从卫星传到你的GPS走了多长距离. 通过把所用时间和光速相乘,就可以知道你离每颗卫星有多远了. 然后比较这些距离,算出你自己所在的位置.

世界上最小的GPS接收机

- zffl - 译言-电脑/网络/数码科技
译者 cyber-china. 整个GPS系统,包括电池和供下载数据的无线发射机,比硬币还小. 有了足够小巧的GPS传感器,就可以跟踪定位任何事物,无论是丢失的钥匙还是跑失的爱犬. 因为当今世界最小的 GPS接收机比1便士的硬币还小,重量近0.3克. 那么,加上其他电子器件,使之成为一个有用系统,并遥控下载记录的数据,它会变成多大呢.

室内GPS定位初露峥嵘

- bill - cnBeta.COM
全球定位系统(GPS)自从1973年诞生以来已经走过了漫长的道路. 今天,任何一部配备GPS功能的手机都能自动接收来自我们头顶的24个GPS卫星的信号,将其用于Foursquare的签到功能中. 此外,在交通管理、交通管理,导航,军事行动和紧急医疗服务等方面,GPS也大有作为.

TeleNav实现网页GPS导航

- - Tech2IPO
TeleNav 似乎是要证明浏览器才是移动设备上真正的杀手应用,他们使用HTML5为其移动app实现了GPS导航功能. 这一服务只需浏览器即可实现,且完全免费,因为他完全不需要设备上的 app store 之类的服务参与. 在上个世纪90年代早期,Web 刚刚开始发展的时候,恐怕没人能想到通过浏览器就可以进行GPS导航,或者是餐馆可以使用Web app 来进行订餐.

android GPS 获取城市信息

- - CSDN博客移动开发推荐文章
1、取得用户当前位置的经度,纬度. 取得用户当前位置的经度,纬度. 今天弄了一个多小时,写了一个GPS获取地理位置代码的小例子,包括参考了网上的一些代码,并且对代码进行了一些修改,希望对大家的帮助. 具体代码如下:  要实用Adnroid平台的GPS设备,首先需要添加上权限,所以需要添加如下权限:  .

关于 Galaxy Nexus 内置气压计的讨论:“2D GPS”和“3D GPS”

- Floater - 爱范儿 · Beats of Bits
Google 和三星联手在上周发布了新款的 Galaxy Nexus ,这款手机搭载了很多“新玩意”,比如说气压计(Barometer ). 在随后的媒体评论和开发者讨论中,都认为手机内置气压计是为了预测天气,帮助开发者做出更准确的天气类 App. 但是 Google 工程师 Dan Morrill 在 Google+ 上描述了气压计的作用:.

北京GPS数据揭示交通拥堵原因

- hao - Solidot
北京是世界著名的堵城之一,城市规则者多年来一直试图通过增加新公路或新的公交线路、或者加强交通执法,去减轻交通压力. 微软亚洲研究院的研究人员,利用2009和2010年两年中3月至5月间33,000辆北京出租车的GPS行驶数据,试图识别出交通问题的真正根源. 微软研究人员在上周清华大学举行的全球普适计算大会UbiComp上介绍了他们的论文《基于出租车数据的城市计算》.