行业新闻与博客

在谈到 44CON，渗透测试合作伙伴的研究人员托尼 Gee 和范吉利斯 Stykas 证明漏洞 GPS 追踪器，使他们能够拨打高费率电话号码，并可能影响到的电视选秀节目的结果。

Gee 表示需要 GPS 追踪器，用于儿童，汽车甚至宠物项圈的手表，但他们的研究发现了一致的 API 漏洞。Gee 表示，问题出现在廉价可用的物联网产品中的“许多常见 API 并跨平台使用”。

Stykas 将一个产品系列称为“怪物”，称对 Thinkrace 技术的研究发现大多数 API 调用不需要身份验证，所有用户都以默认密码“123456”开头。在 80 个域中至少有 370 个易受攻击的设备在 40 个不同的服务器上，Stykas 说允许任何人跟踪，黑客能够更改电子邮件并接管设备，并强制进行固件更新。 

Stykas 将其称为“经典的特权横向升级”，称该供应商在多次尝试时未对漏洞披露做出三年的回应。

在进一步的研究中，Gee 表示，很多 GPS 设备，特别是儿童用的追踪器手表，都使用了即付即用的 SIM 卡，并允许拨打高价电话线。“如果我们拥有这个数字，我们会赚钱，”他说，并指出建立一个数字的成本只有几百英镑，但 PSA 的监管力度很强。

通过查看攻击 GPS 跟踪器以使文本投票到高级线的选项，Gee 说典型的短信投票是 35 便士，所以加上 10 英镑可以投票 28 次。如果有 2500 万个易受攻击的设备，那么可以获得 70 亿张选票。虽然他承认，由于陪审团制度，年度欧洲歌唱大赛的投票不会受到影响，但有可能影响 X Factor 和英国达人等人才秀。这也可以让攻击者赌谁赢家。

在谈到披露时，Gee 表示，英国的四大主要供应商（o2，Vodafone，EE 和 3）都有默认“打开”的优质线路。与此同时，供应商已收到通知，但“大多数产品都没有修复，多个设备也有相同的缺陷。”然而，PSA 已做出回应，并表示将邀请 Pen Test Partners 审核变更。

Gee 最后说，大多数跟踪器不会被修复，但制造商“需要变得更好”，因为“认证不是授权”。

非常感谢您对亚洲注册的支持与信任！

禁止转载