溢文公司的經(jīng)銷商登錄頁面,其webservice接口未經(jīng)授權便可訪問
法制晚報訊自己購買的定位設備,會被人遠程攻破并掌握行蹤。近日有網(wǎng)帖爆料稱,生產(chǎn)定位設備的深圳溢文科技有限公司,其云平臺存在技術漏洞,可能被人利用查看客戶隱私。
法制晚報(微信ID:fzwb_52165216)記者和網(wǎng)絡安全專家實驗發(fā)現(xiàn),利用webservice接口的漏洞可進入溢文公司的后臺系統(tǒng)。使用該公司產(chǎn)品的車輛、個人,其所在位置、歷史移動軌跡都一目了然,甚至可以切斷行駛中貨車的供油、供電系統(tǒng)。
上午,溢文公司證實存在該漏洞,并已進行修復。
爆料 公司平臺存漏洞客戶信息被泄露
本報2015年11月15日報道,家住朝陽星河灣小區(qū)的楚女士發(fā)現(xiàn)自己開賓利車出門時被人跟蹤,丈夫文先生反追蹤智擒綁匪。事后楚女士發(fā)現(xiàn),自己的賓利車車底被綁了一個追蹤器。警察將追蹤器和嫌疑人手機進行比對,發(fā)現(xiàn)完全匹配。外人偷偷裝的追蹤器難防,自己買的定位設備也會被人利用。
近日有網(wǎng)帖爆料稱,市面上銷售的一些GPS設備采用了同一云平臺上的通用程序,而該平臺存在漏洞。攻擊者利用漏洞可定位使用該設備的任意用戶或車輛的當前位置,查詢歷史軌跡等信息,甚至可遠程切斷車輛的供油、供電系統(tǒng),給行駛中的車輛帶來危險。
網(wǎng)絡安全專家告訴記者,網(wǎng)帖提到的云平臺是由深圳溢文科技有限公司維護的。專家表示,這是一家生產(chǎn)GPS定位設備的公司,他們將產(chǎn)品賣給經(jīng)銷商,再由經(jīng)銷商發(fā)售給普通客戶。這些產(chǎn)品有老人兒童定位器、寵物定位器、出租車定位器等。溢文公司的云平臺上有各個經(jīng)銷商的頁面,經(jīng)銷商通過用戶名和密碼登錄,能查看自己所售設備的運行情況。
但網(wǎng)帖稱,這個云平臺存在漏洞,任何個人都能憑借技術手段登錄經(jīng)銷商頁面查看客戶隱私。
實驗 更改密碼進后臺可查看客戶位置
為了驗證網(wǎng)帖所述,記者請360網(wǎng)絡安全專家配合進行了實驗。記者登錄溢文公司的云平臺,選取一家經(jīng)銷商,點開對方的頁面。安全專家利用云平臺的漏洞,短短幾分鐘就將登錄密碼改為123456,隨后登錄到后臺系統(tǒng)。
法制晚報(微信ID:fzwb_52165216)記者看到,后臺系統(tǒng)有該經(jīng)銷商所持有的定位設備列表,分為在線和非在線兩種。記者點開其中一個位于湖南省長沙市的在線設備,看到安裝該設備的車輛正行駛在長沙市西二環(huán)附近,行駛方向正西,速度為11.11公里/小時。隨后,記者另外點開一個位于江蘇省淮安市的設備,顯示車輛正行駛在淮安市夏花園路上,方向、速度也一目了然。
此外,系統(tǒng)中還能查看車輛的歷史軌跡。點開淮安的這臺設備,能看到車輛此前的行駛路線、停留位置和時間,如該車輛曾多次從淮安市區(qū)前往盱眙縣。
記者注意到,系統(tǒng)中綠色汽車形狀的圖標,顯示的是車載定位設備。還有一些圓點或半身人像圖標,專家猜測可能代表老人兒童定位器。記者點開一個位于安徽省合肥市的半身人像圖標,發(fā)現(xiàn)佩戴這臺設備的人一天內在某小區(qū)和附近市場間往返一趟,之后多次在小區(qū)內移動。
漏洞 接口未授權可訪問保密措施成擺設
經(jīng)過測試,網(wǎng)絡安全專家表示,云平臺上經(jīng)銷商頁面的用戶名和登錄密碼,應該由溢文公司和經(jīng)銷商共同嚴密保護。“能掌握這套用戶名和密碼的人應該非常‘稀有’,通常都是高級管理人員,有些公司甚至把用戶名和密碼分開保存。”
專家發(fā)現(xiàn),溢文公司云平臺的webservice接口有漏洞。“這種接口普遍存在于網(wǎng)站程序中,但只有經(jīng)過授權的人才能訪問。”專家說,但溢文公司云平臺的webservice接口未經(jīng)授權便可訪問,“入侵者可以通過這些接口任意修改登錄密碼”。
專家還提到,該平臺的webservice接口還存在sql注入漏洞,“入侵者只要插入惡意數(shù)據(jù),就能直接控制平臺的服務器”。
危害 遠程定位作案目標掌握活動規(guī)律
實驗中,法制晚報(微信ID:fzwb_52165216)記者選擇的那家經(jīng)銷商共持有41404臺定位設備,其中268臺在線。也就是記者可以輕易掌握這268輛車或人的實時行蹤,以及所有客戶的歷史軌跡。記者在實驗中發(fā)現(xiàn),使用溢文公司產(chǎn)品的客戶遍布中國、歐洲、中東、非洲、東南亞等多地。
偷偷在別人車上裝定位設備,要冒著被發(fā)現(xiàn)的風險。而利用溢文公司云平臺的漏洞,不法分子可以輕易找到目標的位置,并掌握對方的活動規(guī)律。如找到哪些人是經(jīng)常出入高檔社區(qū)、商場的,他們平常在什么時間去什么地方。此外,一些客戶還在平臺上注冊了姓名、電話、車牌號等個人信息,也有泄露的風險。
專家提到,一些貨運公司為了防止司機“拉私活兒”,會把定位設備與車輛動力系統(tǒng)相連,可以遠程切斷供油、供電系統(tǒng)。記者在實驗中看到,一些車載設備的選項中確實有“遠程斷油電”的字樣。但為了保證車輛行駛安全,記者沒有測試該功能。
安全專家提示,應選擇大品牌的定位設備,并在購買前搜索一下是否有安全漏洞的新聞。
文(除署名外)/記者范博韜新聞觀察員徐粲然
回應 確實存在漏洞已經(jīng)得到修復
今天上午,深圳溢文科技有限公司負責人對《法制晚報》記者表示,目前他們已經(jīng)發(fā)現(xiàn)該漏洞,并采取措施進行了維護。但該負責人拒絕透露是否因該漏洞泄露了客戶信息。隨后,360攻防實驗室賈文曉專家向法晚記者證實,溢文公司云平臺的漏洞已得到修復。
北京市匯佳律師事務所蘆云律師表示,溢文公司有義務保護客戶的個人隱私,平臺有第一保密責任。如果因技術漏洞造成客戶信息外漏,公司需第一時間采取補救措施。因延時補救而擴大了客戶的損失,公司需要承擔相應的責任
京公網(wǎng)安備 11010502049343號