上百款GPS追蹤服務有漏洞，可能洩露你的行蹤、個資

安全研究人員Vangelis Stykas與Michael Gruhn本周二（1/2）指出，有上百款GPS追蹤裝置的線上服務含有安全漏洞，將允許未經授權的第三方存取存放於服務中的資料。

這些線上服務主要蒐集諸如寵物追蹤裝置、汽車追蹤裝置、小孩追蹤裝置或健身追蹤裝置等GPS追蹤裝置所傳輸的資料。

研究人員發現，相關服務擁有各種嚴重程度不一的安全漏洞，從容易猜測的預設密碼、不安全的API到不安全的直接物件參考等，將允許駭客成功取得使用者的坐標、電話號碼、裝置資料、上傳的照片或是個人資料，有些服務的漏洞還允許駭客傳送命令到裝置上。

特別的是，這些含有漏洞的線上服務大多數安裝了ThinkRace所開發的位置追蹤軟體。

ThinkRace為一專門生產以安全及健身為導向的追蹤產品，從個人用的GPS追蹤器、GPS手錶、GPS卡、寵物追蹤器、單車追蹤器、汽車追蹤器到健身手環等，也替全球逾30個國家的企業、電信業者或政府提供代工服務。

從ThinkRace的背景與發展規模來看，就不難理解研究人員為何能夠找到上百個含有漏洞的GPS線上服務了。例如，使用ThinkRace打造的線上服務都以123456為預設密碼。

除了ThinkRace與屈指可數的線上服務已經修補了安全漏洞之外，其它絕大多數的線上服務都未修補，研究人員則建議使用者變更密碼，在線上服務中移除自己的資料，或是在服務更新前停止使用受影響的裝置。