漏洞通告已数月，但仍仅有4家网站运营商证实修复。

       这是一场IoT噩梦，本可以被完全避免掉的。

       两名研究人员曝光GPS服务问题：使用开放API和简单口令(123456)的数百GPS服务可致大量隐私问题，包括直接跟踪。而且，这些脆弱服务中很多都含有开放目录，暴露出登录数据。

       对有些人而言，这两名研究人员揭露的问题并不是什么新鲜事。早在2015年的Kiwicon大会上，就有人演示了某流行车辆跟踪定位设备中的漏洞。

       但是，1月2日的披露大大扩宽了早前研究的范围，包含市场上采用 A8 迷你GPS跟踪器和 S8 数据线定位器的数百万设备。就像很多IoT设备一样，这些设备是由大量几乎毫无安全可言的白标转售商售出的。

       暴露了什么？

       研究发现，这些不安全的GPS服务会暴露出定位信息、设备模型及类型信息、IMEI码、手机号、自定义名称、音频记录和照片等等。

       举个例子：除了经验证的数据暴露，gps958.com上还有可能读取定位历史信息，向设备发送指令（与通过短信发送的指令无异），激活或禁用地域警报。而且这些全都无需经过身份验证。

       图像和音频记录则是通过受影响服务网站上的开放目录曝光的。

       两名研究人员先是发现了一个调试界面，可以让他们在Web表单中输入API查询指令。一旦获悉该API可接受的参数，便可在并未于公开可见的目录中暴露该API的网站上查询该API。

       通告数月，进展甚微

       2017年11月起，两名研究人员就开始向受影响GPS服务发出通告，根据他们贴出的时间线，进展可谓缓慢。或许是因为这些服务大多是转售商在经营，他们甚至连个联系方式都没留，让两名研究人员的通告工作更加难以开展。

       最初，只有一家中间商做出了响应，并在周末就修复了漏洞。这家中间商名为One2Track。

       距离公开披露时间点仅数小时的时候，GPS跟踪设备大型供应商ThinkRace才最终同意修复其4个域名中的漏洞。而这一举动也让披露工作延迟了24小时。

       研究人员认为，ThinkRace就是定位跟踪在线服务的原始开发商，只不过又再许可授权给了其他人。除了他们承诺修复的那4个域名，他们对曝出漏洞的其他脆弱网站其实毫无控制权。

       怎么办？

       截至发稿，4个域名上的问题得到了解决，15个域名不再响应自动化概念验证测试，可能也修复了漏洞；但这一结果并不代表什么。

       最终，被发现的脆弱域名中，还有79个域名依然存在漏洞。虽然研究人员相信自己找出了所有脆弱域名，但他们不可能100%确信，可能有其他网站还在别的什么地方暴露着用户的数据。

       消费者最好修改一下自己的口令（如果正在用默认口令，如果服务已经被修复了的话）；并尽可能删除设备上的个人信息。否则，最好就别用这东西了。

扫一扫或点击进入“上海奥航智能科技有限公司”官网：www.aohsmart.com                                扫一扫或点击进入“中国移动安全信息网”：cn-mobi.com                   

免责声明：本文仅代表作者个人观点，与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。