兒童GPS跟蹤器安全性分析(Part 1)
GPS跟蹤器的作用是幫助家長獲得兒童、寵物甚至汽車的位置信息,也可以提供一個簡單的SOS(緊急求助)按鈕,幫助老年人或殘疾人更快尋求幫助。在Amazon及eBay上等常見電商平臺上,這類產品的價格通常為25至50美元,在價格上比具備相同功能的智能手機更具吸引力。
但這些設備為什么總是能知道我們的具體位置,有時候甚至能聽到我們的聲音(本文分析的大多數設備安裝了麥克風),大家是否清楚背后原理?事實證明,相比起這些產品帶來的便捷性,現在某些GPS產品(尤其是市場上低端產品)可能會給我們帶來不少困擾。這些產品不僅在安全性上令人擔憂,而且很有可能給我們的親人帶來更多傷害。
在本文中,我們決定仔細研究Amazon、eBay以及Alibaba上的幾款兒童跟蹤器,分析其中的安全問題。
0x01 背景知識
現代GPS跟蹤器會使用各種通信渠道以及技術,典型的架構如圖1所示:
圖1. GPS跟蹤器典型配置及架構
這里涉及到許多傳輸層協議及層次化結構,因此我們從多個方面進行評估,研判這些設備的安全性。
通常情況下,跟蹤器本身比較簡單,廉價的設備中SOC(system on chip,片上系統)模塊是其主要組件,串行總線將SOC與GPS模塊連接起來,GPS模塊負責提供位置信息。SOC也會與GPRS調制解調器相連,后者連接至SIM卡,以提供數據+SMS功能。此外,我們經常可以找到麥克風及揚聲器部件,當按下“SOS”按鈕時,這些部件可以提供電話功能。
圖2. GPS跟蹤器內部工作原理
我們將研究內容分成以下4大類:
分析特定設備的新手使用過程;
分析web頁面及管理入口(如果存在);
分析移動應用及云端的流量;
分析跟蹤器及云端的GPRS流量。
0x02 設備上手
我們決定挑選一款跟蹤器進一步研究。我們在市場上挑選了一款“T8 Mini GPS Tracker”,大小樣式類似鑰匙環,具有SOS按鈕、兩路通信功能(揚聲器及麥克風)。
圖3. 跟蹤器
我們首先注意到的是新手使用過程,產品附加的說明書中有如下一段話:
其中提到,產品附帶了一個web入口以及移動應用,可以用來管理跟蹤器。我們采取比較直接的方式,首先打開瀏覽器,訪問http://en.i365gps.com,這里可以看到一些錯誤信息:
圖4. web登錄界面
從上圖紅色警告信息中我們可知,該站點基于HTTP協議,并沒有使用更加安全的HTTPS。此外,我們有兩個選項可以連接到云端:使用用戶名及密碼,或者使用ID及密碼。這里要選擇哪種方案?我們可以看一下說明書上的說明:
圖5. 默認密碼
以上描述適用于Android應用程序以及web應用。這里還有一段話:“……如果用戶需要使用用戶名登錄,那么應當聯系經銷商來注冊用戶名”。由于我們需要聯系經銷商來獲取用戶名,因此用戶很可能會使用ID,對應的密碼為123456。從安全角度來講,這并不很好的開頭。
在演示場景中,我們使用的ID號為17032491112,密碼為123456。當我們登錄web時,可以看到如下界面:
圖6. web界面
這里數據依然通過HTTP協議傳輸,我們可以修改密碼,但無法創建賬戶。我們把重點放在ID上。
0x03 用戶ID
登錄應用程序所使用的ID為11位數字,在彈出的信息框中,這個信息被稱為IMEI(international mobile equipment identity,國際移動設備識別碼)碼。
圖7. 信息框
從上圖中可知,該設備被表示為T8S-49112,因此最后5位數字來自于“IMEI”,前面的字符應該是具體型號。這里很奇怪的是,雖然這個號碼稱為“IMEI”,但并不符合IMEI標準。根據規范,IMEI長度應為15位,并且最后一位應該是控制位。當我們搜索一番后,在設備底部找到了完整的IMEI號(如圖8所示),后面又在盒子上找到了一個貼紙。這里我們看到的完整IMEI為:
圖8. 跟蹤器背部及IMEI、ID號
圖9. 設備IMEI號分解
因此如果參考前面的“IMEI”及ID號,與標準格式對比,我們可以得到如下對比結果: