捷克网络安全公司Avast的安全研究人员今天透露，一家中国公司生产的至少600,000台GPS追踪器正在使用相同的默认密码“123456”。

他们说，黑客可以滥用这个密码劫持用户的帐户，他们可以监视GPS跟踪器附近的对话，欺骗跟踪器的真实位置，或者获取跟踪器附加的SIM卡电话号码，以便通过GSM频道进行跟踪。

超过30个GPS跟踪器型号受到影响

Avast研究人员表示，他们在中国物联网设备制造商深圳i365-Tech生产的GPS追踪器T8 Mini中发现了这些问题。

然而，随着他们的研究进展，Avast表示这些问题还影响了30多种其他型号的GPS跟踪器，这些型号均由同一供应商制造，有些甚至以白标产品的形式出售，带有其他公司的标识。

所有型号共享相同的后端基础设施，包括GPS跟踪器报告的云服务器，客户通过浏览器登录以检查跟踪器位置的Web面板，以及连接到同一云服务器的类似移动应用程序。

但所有这些基础设施都充满了漏洞。虽然Avast在其报告中详述了几个问题，但最大的问题是所有用户帐户(来自移动应用程序或Web面板)都依赖于易于猜测的用户ID和密码。

用户ID基于GPS跟踪器的IMEI(国际移动设备身份)代码并且是相同的，而密码对于所有设备都是相同的 - 123456。

这意味着黑客可以通过逐个浏览所有用户ID，并使用相同的123456密码，对深圳i365-Tech的云服务器发起自动攻击，并接管用户的帐户。

虽然用户可以在首次登录帐户后更改默认设置，但Avast表示，在扫描超过四百万个用户ID时，发现超过600,000个帐户仍在使用默认密码。

普遍跟踪和其他攻击

许多顾客购买这些设备来跟踪宠物，老人家庭成员，儿童，汽车或其他贵重物品。获得访问其中一个客户帐户的攻击者可以跟踪受害者，但他们也可以欺骗跟踪器的位置，绑架或窃取有价值的产品，而无需业主注意，直到为时已晚。

此外，这些设备配有麦克风和SIM卡，因此儿童或老年人可以向当局或家庭成员发出SOS呼叫。

Avast表示，帐户黑客可以滥用此功能拨打自己的电话号码，接听电话，然后悄悄监视GPS跟踪器所有者。

默认密码也会使供应商的利润处于危险之中

但是这些默认密码对于这些GPS跟踪器的所有者来说并不危险。阿瓦斯特说，中国公司本身就处于危险之中。

研究人员解释说，云服务的帐户是在制造GPS跟踪器后立即创建的。他们表示，恶意竞争对手可能会在销售这些设备之前劫持这些帐户并获取密码，从而有效锁定帐户并为深圳i365-Tech及其经销商在未来的路上制造客户支持问题。

由于Avast的研究仅考虑了400万用户ID，因此使用默认密码的GPS跟踪器的实际数量可能要高得多。

不幸的是，对于每个人来说，问题一直持续到今天，因为深圳i365-Tech在公司试图警告供应商时没有回应Avast的电子邮件。ZDNet姊妹网站CNET的类似联系尝试也没有成功。