新的研究表明 至少有30个GPS跟踪器从云中泄漏实时位置坐标
安全漏洞中有30个GPS跟踪器模型针对儿童,老人和宠物可以根据从博客帖子周四公布数据,包括人的实时GPS坐标,安全公司Avast的。Avast发现,设计缺陷还允许黑客潜在地访问设备麦克风或欺骗一个位置,突出了消费者在智能设备方面仍然面临的安全和隐私问题。
中国制造商深圳i365 Tech的T8 Mini GPS追踪器以纯文本形式传输来自其Web应用程序的请求,这意味着该设备未加密且不安全。这可能允许恶意第三方通过麦克风窃听,使用SMS将设备重新路由到另一个服务以获得完全控制和欺骗信息发送到云或共享设备的URL,允许远程攻击者感染它与远方的恶意软件。
Avast的研究人员发现,大约29个其他型号,主要来自同一制造商,并在亚马逊,eBay和阿里巴巴上销售,包含相同的不安全基础设施。虽然研究的所有模型都是由深圳i365出售的,但有些模型以不同的产品名称出售 - 称为“白色标签”。
除了在这篇文章中检查的30个GPS跟踪器之外,Avast还发现了50个不同的移动应用程序共享相同的未加密平台。研究人员估计,有超过600,000台设备使用默认“123456”密码,并且这些移动应用程序的下载量约为500,000 。
据该帖称,该公司向深圳i365 Tech通报了这些缺陷,并没有得到回应。
虽然这些信息令这些特定设备的用户感到不安,但研究人员指出,这个问题远远超出任何一家供应商,指出物联网(IoT)和智能设备存在更大的隐私和安全问题 - 特别是当它到来时更加可怕针对儿童的设备。例如,在8月份,为3至6岁儿童制作的LeapPad Ultimate平板电脑中发现的漏洞可能让黑客能够确定孩子的位置并向他们发送消息。近年来,互联网连接的Hello Barbie娃娃和填充动物CloudPets也发现了安全漏洞。
智能设备继续在全球迅速传播:到2020年,全球将有超过204亿台连接设备,Gartner预测。
在涉及物联网设备时,立法者试图介入以保护消费者安全:去年,加利福尼亚州成为第一个通过法律的美国州,声称任何智能设备制造商都必须建立“保护设备和任何信息的安全功能”其中未经授权的访问,销毁,使用,修改或披露。“
虽然美国已经提出了联邦法律,但几乎没有什么运动。在任何法律生效之前,智能设备安全性都留在制造商手中。这意味着为了方便许多技术工具而进行权衡,特别是在智能设备中,通常会增加安全性和隐私风险。
如何选择最安全的智能设备
Avast的研究人员在他们的帖子中表示,如果您想购买智能设备并确保安全,您必须对特定设备中内置的安全协议进行研究 - 这对于大多数消费者来说是一个很高的障碍 - 特别是当它是一种低成本的设备。选择在产品设计中具有安全性的品牌产品,特别是安全登录和强大的数据加密保护。无论何时设置现成的设备,都应立即更改默认的管理员密码。
“作为父母,我们倾向于接受有助于保护孩子安全的技术,但我们必须精通我们购买的产品,”Avast产品交付主管Leena Elias在一份新闻稿中表示。“请注意任何不符合最低安全标准或缺乏第三方认证或认可的制造商。只购买您信任的品牌以保证您的数据安全 - 额外的成本值得您高枕无忧。”
越来越多的消费者(根据Parks&Associates的研究,79%)关注智能设备的隐私问题。在审查和评估最佳智能家居设备时,CNET使隐私和安全成为一个更大的因素。我们现在有一位资深编辑Ry Crist,他特别关注智能家居的安全和隐私。因此,请继续关注CNET以获取有关这一重要主题的更多信息。