漏洞通告已数月，但仍仅有4家网站运营商证实修复。

这是一场IoT噩梦，本可以被完全避免掉的。

 

两名研究人员曝光GPS服务问题：使用开放API和简单口令(123456)的数百GPS服务可致大量隐私问题，包括直接跟踪。而且，这些脆弱服务中很多都含有开放目录，暴露出登录数据。

对有些人而言，这两名研究人员揭露的问题并不是什么新鲜事。早在2015年的Kiwicon大会上，就有人演示了某流行车辆跟踪定位设备中的漏洞。

但是，1月2日的披露大大扩宽了早前研究的范围，包含市场上采用 A8 迷你GPS跟踪器和 S8 数据线定位器的数百万设备。就像很多IoT设备一样，这些设备是由大量几乎毫无安全可言的白标转售商售出的。

　　暴露了什么？

研究发现，这些不安全的GPS服务会暴露出定位信息、设备模型及类型信息、IMEI码、手机号、自定义名称、音频记录和照片等等。

举个例子：除了经验证的数据暴露，gps958.com上还有可能读取定位历史信息，向设备发送指令(与通过短信发送的指令无异)，激活或禁用地域警报。而且这些全都无需经过身份验证。

图像和音频记录则是通过受影响服务网站上的开放目录曝光的。

两名研究人员先是发现了一个调试界面，可以让他们在Web表单中输入API查询指令。一旦获悉该API可接受的参数，便可在并未于公开可见的目录中暴露该API的网站上查询该API。

　　通告数月，进展甚微

2017年11月起，两名研究人员就开始向受影响GPS服务发出通告，根据他们贴出的时间线，进展可谓缓慢。或许是因为这些服务大多是转售商在经营，他们甚至连个联系方式都没留，让两名研究人员的通告工作更加难以开展。

最初，只有一家中间商做出了响应，并在周末就修复了漏洞。这家中间商名为One2Track。

距离公开披露时间点仅数小时的时候，GPS跟踪设备大型供应商ThinkRace才最终同意修复其4个域名中的漏洞。而这一举动也让披露工作延迟了24小时。

研究人员认为，ThinkRace就是定位跟踪在线服务的原始开发商，只不过又再许可授权给了其他人。除了他们承诺修复的那4个域名，他们对曝出漏洞的其他脆弱网站其实毫无控制权。

怎么办？

截至发稿，4个域名上的问题得到了解决，15个域名不再响应自动化概念验证测试，可能也修复了漏洞；但这一结果并不代表什么。

最终，被发现的脆弱域名中，还有79个域名依然存在漏洞。虽然研究人员相信自己找出了所有脆弱域名，但他们不可能100%确信，可能有其他网站还在别的什么地方暴露着用户的数据。

消费者最好修改一下自己的口令(如果正在用默认口令，如果服务已经被修复了的话)；并尽可能删除设备上的个人信息。否则，最好就别用这东西了。

　　只要管理着你设备的在线服务继续带洞运行，修改口令也解决不了任何问题。而且，除了弃用设备，目前你也做不了什么来防护自身了。

(责任编辑：安博涛)