系统漏洞 自家GPS会“告密”

2024-03-12 22:50
文章标签 gps 告密 系统漏洞

本文主要是介绍系统漏洞 自家GPS会“告密”,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

image

溢文公司的经销商登录页面,其webservice接口未经授权便可访问

法制晚报讯自己购买的定位设备,会被人远程攻破并掌握行踪。近日有网帖爆料称,生产定位设备的深圳溢文科技有限公司,其云平台存在技术漏洞,可能被人利用查看客户隐私。

法制晚报(微信ID:fzwb_52165216)记者和网络安全专家实验发现,利用webservice接口的漏洞可进入溢文公司的后台系统。使用该公司产品的车辆、个人,其所在位置、历史移动轨迹都一目了然,甚至可以切断行驶中货车的供油、供电系统。

上午,溢文公司证实存在该漏洞,并已进行修复。

爆料 公司平台存漏洞客户信息被泄露

本报2015年11月15日报道,家住朝阳星河湾小区的楚女士发现自己开宾利车出门时被人跟踪,丈夫文先生反追踪智擒绑匪。事后楚女士发现,自己的宾利车车底被绑了一个追踪器。警察将追踪器和嫌疑人手机进行比对,发现完全匹配。外人偷偷装的追踪器难防,自己买的定位设备也会被人利用。

近日有网帖爆料称,市面上销售的一些GPS设备采用了同一云平台上的通用程序,而该平台存在漏洞。攻击者利用漏洞可定位使用该设备的任意用户或车辆的当前位置,查询历史轨迹等信息,甚至可远程切断车辆的供油、供电系统,给行驶中的车辆带来危险。

网络安全专家告诉记者,网帖提到的云平台是由深圳溢文科技有限公司维护的。专家表示,这是一家生产GPS定位设备的公司,他们将产品卖给经销商,再由经销商发售给普通客户。这些产品有老人儿童定位器、宠物定位器、出租车定位器等。溢文公司的云平台上有各个经销商的页面,经销商通过用户名和密码登录,能查看自己所售设备的运行情况。

但网帖称,这个云平台存在漏洞,任何个人都能凭借技术手段登录经销商页面查看客户隐私。

实验 更改密码进后台可查看客户位置

为了验证网帖所述,记者请360网络安全专家配合进行了实验。记者登录溢文公司的云平台,选取一家经销商,点开对方的页面。安全专家利用云平台的漏洞,短短几分钟就将登录密码改为123456,随后登录到后台系统。

法制晚报(微信ID:fzwb_52165216)记者看到,后台系统有该经销商所持有的定位设备列表,分为在线和非在线两种。记者点开其中一个位于湖南省长沙市的在线设备,看到安装该设备的车辆正行驶在长沙市西二环附近,行驶方向正西,速度为11.11公里/小时。随后,记者另外点开一个位于江苏省淮安市的设备,显示车辆正行驶在淮安市夏花园路上,方向、速度也一目了然。

此外,系统中还能查看车辆的历史轨迹。点开淮安的这台设备,能看到车辆此前的行驶路线、停留位置和时间,如该车辆曾多次从淮安市区前往盱眙县。

记者注意到,系统中绿色汽车形状的图标,显示的是车载定位设备。还有一些圆点或半身人像图标,专家猜测可能代表老人儿童定位器。记者点开一个位于安徽省合肥市的半身人像图标,发现佩戴这台设备的人一天内在某小区和附近市场间往返一趟,之后多次在小区内移动。

漏洞 接口未授权可访问保密措施成摆设

经过测试,网络安全专家表示,云平台上经销商页面的用户名和登录密码,应该由溢文公司和经销商共同严密保护。“能掌握这套用户名和密码的人应该非常‘稀有’,通常都是高级管理人员,有些公司甚至把用户名和密码分开保存。”

专家发现,溢文公司云平台的webservice接口有漏洞。“这种接口普遍存在于网站程序中,但只有经过授权的人才能访问。”专家说,但溢文公司云平台的webservice接口未经授权便可访问,“入侵者可以通过这些接口任意修改登录密码”。

专家还提到,该平台的webservice接口还存在sql注入漏洞,“入侵者只要插入恶意数据,就能直接控制平台的服务器”。

危害 远程定位作案目标掌握活动规律

实验中,法制晚报(微信ID:fzwb_52165216)记者选择的那家经销商共持有41404台定位设备,其中268台在线。也就是记者可以轻易掌握这268辆车或人的实时行踪,以及所有客户的历史轨迹。记者在实验中发现,使用溢文公司产品的客户遍布中国、欧洲、中东、非洲、东南亚等多地。

偷偷在别人车上装定位设备,要冒着被发现的风险。而利用溢文公司云平台的漏洞,不法分子可以轻易找到目标的位置,并掌握对方的活动规律。如找到哪些人是经常出入高档社区、商场的,他们平常在什么时间去什么地方。此外,一些客户还在平台上注册了姓名、电话、车牌号等个人信息,也有泄露的风险。

专家提到,一些货运公司为了防止司机“拉私活儿”,会把定位设备与车辆动力系统相连,可以远程切断供油、供电系统。记者在实验中看到,一些车载设备的选项中确实有“远程断油电”的字样。但为了保证车辆行驶安全,记者没有测试该功能。

安全专家提示,应选择大品牌的定位设备,并在购买前搜索一下是否有安全漏洞的新闻。

文(除署名外)/记者范博韬新闻观察员徐粲然

回应 确实存在漏洞已经得到修复

今天上午,深圳溢文科技有限公司负责人对《法制晚报》记者表示,目前他们已经发现该漏洞,并采取措施进行了维护。但该负责人拒绝透露是否因该漏洞泄露了客户信息。随后,360攻防实验室贾文晓专家向法晚记者证实,溢文公司云平台的漏洞已得到修复。

北京市汇佳律师事务所芦云律师表示,溢文公司有义务保护客户的个人隐私,平台有第一保密责任。如果因技术漏洞造成客户信息外漏,公司需第一时间采取补救措施。因延时补救而扩大了客户的损失,公司需要承担相应的责任

本文转自d1net(转载)

这篇关于系统漏洞 自家GPS会“告密”的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/802842

相关文章

CST软件如何仿真GPS上半球空间的辐射占比

手机GPS天线测试,除了关心常规指标外,通常还要评估天线上半空间和下半空间的辐射比,以了解GPS天线真正有用的辐射效率有多少。本期将以GPS天线为例介绍在CST中如何仿真GPS上下空间的辐射比。 这里用Antenna Magus库,创建了一个IFA天线用来做本例的演示,如下图所示: 要进行方向图分析,需要设置一个远场频点的监视器,例如1.575GHz。然后仿真得到天线的远场方向图如下图所示

settings数据库查看location(GPS)设置模式的命令

App层 Android平台中,GPS的开启和关闭主要在设置中: 其模式有三种: 1.High accruacy 高精度 使用GPS,Networks,Wi-Fi和Bluetooth进行定位, 准确度最好,但比较费电 2.Battery saving 使用Wi-Fi, Bluetooth和Networks进行定位, 速度快,省电,但是精度较差。 3.Device only 只使用GPS进行定位

根据GPS获取手机位置

根据GPS获取手机位置坐标的类 package com.wjy.project.railway.tools;import android.Manifest;import android.app.Service;import android.content.Intent;import android.content.SharedPreferences;import android.cont

在Postgresql中计算工单的对应的GPS轨迹距离

一、概述 在某个App开发中,要求记录用户的日常轨迹,在用户巡逻设备的时,将记录的轨迹点当做该设备巡逻时候的轨迹。 由于业务逻辑上没有明确的指示人员巡逻工单-GPS位置之间的关系,所以通过时间关系进行轨迹划定。 二、创建测试表 首先创建测试表,包括用户表、工单表以及GPS轨迹表。 用户表 --用户表CREATE TABLE a_users (userid varchar NUL

《Linux操作系统-系统移植》第8章 USB-4G/LTE移植 -第3节 USB-4G移植(移远AG35开发-GPS解析及编程)

查看参考手册,移远带有GPS的芯片的USB Serial如下。 2.1应用简介 1、若不使用 AT+QGPSCFG 指令对AG35进行配置,则会以默认参数开启GPS参数,NMEA端口开始上报,"gpsnmeatype"默认值为31,上报间隔为1s,每次上报所有种类的NMEA数据(GGA\RMC\GSV\GSA\VTG),若采用此默认配置,大多数使用者会觉得单次上报的数据太多且很多信息重复,建

STM32——GPS模块(GY-NEO-6M)

1连接 1-1 使用 USB-TTL 工具,安装好驱动,可以在”设备管理器看到对应COM”按照如下链接测试模块: USB-TTL GPS 模块 3.3V--------------------------------->VCC GND------------------------------>GND RXD------------------------------>TXD TX

GPS扫盲

GPS模块参数主要有接收灵敏度、定位时间、位置精度、功耗、时间精度等。根据不同的GPS芯片有不同的性能差异,在各项参数上都有差别,所以选择一款性能好的GPS模块,需要参照详细的各个GPS模块参数来选择。 以下是我们公司采用ublox芯片的GPS模块HT-1009U的详细参数:   模块性能 芯片 ublox UBX-G7020-KT 频率 L1, 1575.42MHz

webview下js的gps定位

webview下js的gps定位 <html><head><title>Js调用Android</title></head><body><input type="button" value="Toast提示" onclick="myObj.startGps();"/><input type="button" value="列表对话框" onclick="myObj.showDialog(

时间服务器中,适用于国内的 NTP 服务器地址,可用于时间同步或 Android 加速 GPS 定位

NTP 是什么?   NTP 是网络时间协议(Network Time Protocol),它用来同步网络设备【如计算机、手机】的时间的协议。 NTP 实现什么目的?   目的很简单,就是为了提供准确时间。因为我们的手表、设备等,经常会时间跑着跑着就有误差,或快或慢的少几秒,时间长了甚至误差过分钟。 NTP 服务器列表 最常见、熟知的就是 www.pool.ntp.org/zo

基于51的单片机GPS定位系统设计

一.硬件方案 本设计主要是制作出一款基于51单片机的GPS定位器,根据设计需求,硬件部分主要由51单片机+GPS定位模块+LCD12864液晶+LED指示灯+3.3V稳压电路+天线设计而成; 二.设计功能 (1)单片机选用:51单片机(STC89C51/52、AT89C51/52、AT90C51/52均可兼容),GPS定位模块(带天线)。 (2)采用LCD12864液晶显示当前的时间、日期、