市面上有不少 GPS 定位裝置售賣,價格低至港幣 200 元,這些裝置可把 GPS 定位資訊上傳到互聯網,擁有人或監護人可透過手機或電腦,隨時了解裝置現時位置。不過有網絡安全專家指,在中國、歐洲被廣泛使用的一些 GPS 定位器只有極為薄弱的安全保護,預設密碼只設為123456,而用戶ID 更加是裝置的 IMEI 識別碼,容易被黑客入侵,掌握個人動向。
網絡安全公司 Avast Software 旗下實驗室就為其中一款市面有售賣的 GPS 定位器「T8 Mini」進行了詳細檢驗,包括其資料處理程序、裝置往雲端發送的資料、應用程式與雲端之間傳輸的資料等。
在登入網路平台後,用戶可詳細了解到這個裝置的目前位置、IMEI 製造識別碼、在線狀態、電池電量、目前位置的取得時間等。
研究發現,網路操作後台只用 HTTP 無加密方式傳輸資料,而並非加密化的 HTTPS。研究員指在這一刻產品已存在一個嚴重錯誤。
其後他們發現預設密碼被設為「123456」,而 ID 則為裝置的 IMEI 識別碼。而用戶要把「用戶名稱」連結到 ID,需要店家代為辦理。相信保安設定薄弱的原因,是為了方便這個程序。
研究員指,用戶名稱與密碼沒有在加密的情況下在互聯網上傳輸,如果密碼沒有被更改,惡意攻擊者、黑客可隨時劫持 GPS 定位器。除了隨時偵測到用戶位置資訊,更可遠隔操作 SOS 求救功能與進行盜聽。研究員也發現,所謂 IMEI 製造識別碼也並非真正的 IMEI 碼。
研究員把其中以「1703」為首的 ID 進行掃描,發現有 60 萬個裝置預設密碼為「123456」正在運行當中,至少有 16.7 萬部可自由被人在網上檢查到位置資訊。根據後台系統與其資料傳輸介面(API),受影響 GPS 定位應達到 30 多款,而並不單是這次測試的「T8 Mini」。
目前他們已經將問題通知製造商,到目前並不收到製造商任何回應。