系统漏洞 自家GPS会“告密”

 　　转载：网易 　　

 

　　溢文公司的经销商登录页面，其webservice接口未经授权便可访问

　　法制晚报讯自己购买的定位设备，会被人远程攻破并掌握行踪。近日有网帖爆料称，生产定位设备的深圳溢文科技有限公司，其云平台存在技术漏洞，可能被人利用查看客户隐私。

　　法制晚报(微信ID：fzwb_52165216)记者和网络安全专家实验发现，利用webservice接口的漏洞可进入溢文公司的后台系统。使用该公司产品的车辆、个人，其所在位置、历史移动轨迹都一目了然，甚至可以切断行驶中货车的供油、供电系统。

　　上午，溢文公司证实存在该漏洞，并已进行修复。

　　爆料 公司平台存漏洞客户信息被泄露

　　本报2015年11月15日报道，家住朝阳星河湾小区的楚女士发现自己开宾利车出门时被人跟踪，丈夫文先生反追踪智擒绑匪。事后楚女士发现，自己的宾利车车底被绑了一个追踪器。警察将追踪器和嫌疑人手机进行比对，发现完全匹配。外人偷偷装的追踪器难防，自己买的定位设备也会被人利用。

　　近日有网帖爆料称，市面上销售的一些GPS设备采用了同一云平台上的通用程序，而该平台存在漏洞。攻击者利用漏洞可定位使用该设备的任意用户或车辆的当前位置，查询历史轨迹等信息，甚至可远程切断车辆的供油、供电系统，给行驶中的车辆带来危险。

　　网络安全专家告诉记者，网帖提到的云平台是由深圳溢文科技有限公司维护的。专家表示，这是一家生产GPS定位设备的公司，他们将产品卖给经销商，再由经销商发售给普通客户。这些产品有老人儿童定位器、宠物定位器、出租车定位器等。溢文公司的云平台上有各个经销商的页面，经销商通过用户名和密码登录，能查看自己所售设备的运行情况。

　　但网帖称，这个云平台存在漏洞，任何个人都能凭借技术手段登录经销商页面查看客户隐私。

　　实验 更改密码进后台可查看客户位置

　　为了验证网帖所述，记者请360网络安全专家配合进行了实验。记者登录溢文公司的云平台，选取一家经销商，点开对方的页面。安全专家利用云平台的漏洞，短短几分钟就将登录密码改为123456，随后登录到后台系统。

　　法制晚报(微信ID：fzwb_52165216)记者看到，后台系统有该经销商所持有的定位设备列表，分为在线和非在线两种。记者点开其中一个位于湖南省长沙市的在线设备，看到安装该设备的车辆正行驶在长沙市西二环附近，行驶方向正西，速度为11.11公里/小时。随后，记者另外点开一个位于江苏省淮安市的设备，显示车辆正行驶在淮安市夏花园路上，方向、速度也一目了然。

　　此外，系统中还能查看车辆的历史轨迹。点开淮安的这台设备，能看到车辆此前的行驶路线、停留位置和时间，如该车辆曾多次从淮安市区前往盱眙县。

　　记者注意到，系统中绿色汽车形状的图标，显示的是车载定位设备。还有一些圆点或半身人像图标，专家猜测可能代表老人儿童定位器。记者点开一个位于安徽省合肥市的半身人像图标，发现佩戴这台设备的人一天内在某小区和附近市场间往返一趟，之后多次在小区内移动。

　　漏洞 接口未授权可访问保密措施成摆设

　　经过测试，网络安全专家表示，云平台上经销商页面的用户名和登录密码，应该由溢文公司和经销商共同严密保护。“能掌握这套用户名和密码的人应该非常‘稀有’，通常都是高级管理人员，有些公司甚至把用户名和密码分开保存。”

　　专家发现，溢文公司云平台的webservice接口有漏洞。“这种接口普遍存在于网站程序中，但只有经过授权的人才能访问。”专家说，但溢文公司云平台的webservice接口未经授权便可访问，“入侵者可以通过这些接口任意修改登录密码”。

　　专家还提到，该平台的webservice接口还存在sql注入漏洞，“入侵者只要插入恶意数据，就能直接控制平台的服务器”。

　　危害 远程定位作案目标掌握活动规律

　　实验中，法制晚报(微信ID：fzwb_52165216)记者选择的那家经销商共持有41404台定位设备，其中268台在线。也就是记者可以轻易掌握这268辆车或人的实时行踪，以及所有客户的历史轨迹。记者在实验中发现，使用溢文公司产品的客户遍布中国、欧洲、中东、非洲、东南亚等多地。

　　偷偷在别人车上装定位设备，要冒着被发现的风险。而利用溢文公司云平台的漏洞，不法分子可以轻易找到目标的位置，并掌握对方的活动规律。如找到哪些人是经常出入高档社区、商场的，他们平常在什么时间去什么地方。此外，一些客户还在平台上注册了姓名、电话、车牌号等个人信息，也有泄露的风险。

　　专家提到，一些货运公司为了防止司机“拉私活儿”，会把定位设备与车辆动力系统相连，可以远程切断供油、供电系统。记者在实验中看到，一些车载设备的选项中确实有“远程断油电”的字样。但为了保证车辆行驶安全，记者没有测试该功能。

　　安全专家提示，应选择大品牌的定位设备，并在购买前搜索一下是否有安全漏洞的新闻。

　　文(除署名外)/记者范博韬新闻观察员徐粲然

　　回应 确实存在漏洞已经得到修复

　　今天上午，深圳溢文科技有限公司负责人对《法制晚报》记者表示，目前他们已经发现该漏洞，并采取措施进行了维护。但该负责人拒绝透露是否因该漏洞泄露了客户信息。随后，360攻防实验室贾文晓专家向法晚记者证实，溢文公司云平台的漏洞已得到修复。

　　北京市汇佳律师事务所芦云律师表示，溢文公司有义务保护客户的个人隐私，平台有第一保密责任。如果因技术漏洞造成客户信息外漏，公司需第一时间采取补救措施。因延时补救而扩大了客户的损失，公司需要承担相应的责任。