【600,000個GPS跟踪器在線曝光，默認密碼為“123456”】
默認密碼對客戶而言也是一種危險，對供應商本身也是如此。

捷克網絡安全公司 #Avast 的安全研究人員今天透露，一家中國公司生產的至少600,000台 #GPS追踪器 正在使用相同的默認密碼“123456”。
他們說，黑客可以濫用這個密碼劫持用戶的帳戶，他們可以監視GPS跟踪器附近的對話，欺騙跟踪器的真實位置，或者獲取跟踪器附加的SIM卡電話號碼，以便通過GSM頻道進行跟踪。
超過30個GPS跟踪器型號受到影響
Avast研究人員表示，他們在中國物聯網設備製造商 #深圳i365-Tech 生產的GPS追踪器T8 Mini中發現了這些問題。
然而，隨著他們的研究進展，Avast表示這些問題還影響了30多種其他型號的GPS跟踪器，這些型號均由同一供應商製造，有些甚至以白標產品的形式出售，帶有其他公司的標識。
所有型號共享相同的後端基礎設施，包括GPS跟踪器報告的雲服務器，客戶通過瀏覽器登錄以檢查跟踪器位置的Web面板，以及連接到同一云服務器的類似移動應用程序。
但所有這些基礎設施都充滿了漏洞。雖然Avast在其報告中詳述了幾個問題，但最大的問題是所有用戶帳戶（來自移動應用程序或Web面板）都依賴於易於猜測的用戶ID和密碼。
用戶ID基於GPS跟踪器的IMEI（國際移動設備身份）代碼並且是相同的，而密碼對於所有設備都是相同的 - 123456。
這意味著黑客可以通過逐個瀏覽所有用戶ID，並使用相同的123456密碼，對深圳i365-Tech的雲服務器發起自動攻擊，並接管用戶的帳戶。
雖然用戶可以在首次登錄帳戶後更改默認設置，但Avast表示，在掃描超過四百萬個用戶ID時，發現超過600,000個帳戶仍在使用默認密碼。
但是這些默認密碼對於這些GPS跟踪器的所有者來說並不危險。Avast說，中國公司本身就處於危險之中。
研究人員解釋說，雲服務的帳戶是在製造GPS跟踪器後立即創建的。他們表示，惡意競爭對手可能會在銷售這些設備之前劫持這些帳戶並獲取密碼，從而有效鎖定帳戶並為深圳i365-Tech及其經銷商在未來的路上製造客戶支持問題。
由於Avast的研究僅考慮了400萬用戶ID，因此使用默認密碼的GPS跟踪器的實際數量可能要高得多。
不幸的是，這個問題一直持續到今天，因為當Avast試圖警告供應商時，深圳i365公司科技沒有回复Avast的電子郵件.ZDNet的姐妹網站CNET也進行了類似的聯繫嘗試，但也沒有成功。
目前，建議擁有Avast報告中列出的30多種GPS追踪器型號之一的用戶盡快更改其帳戶密碼。