摘要：英國安全研究員Fidus Information Security最近披露，由某家中國業者製造的GPS追蹤器含有多個重大的安全漏洞，將允許遠端黑客得知用戶位置、啓用麥克風以進行竊聽，或是重置裝置設定，而且該業者與多個品牌合作，在全球市場皆有鋪貨，估計光是在英國就有超過1萬臺含有相關漏洞的GPS追蹤器。新款的GPS追蹤器配有獨立的電話號碼，可通過行動網絡建立連結，允許親友藉由文字簡訊傳送命令以得知用戶位置，撥打電話以啓用用戶的麥克風，設定警報，還能鎖住裝置，變更裝置密碼，重啓或是重置裝置等。

英國安全研究員Fidus Information Security最近披露，由某家中國業者製造的GPS追蹤器含有多個重大的安全漏洞，將允許遠端黑客得知用戶位置、啓用麥克風以進行竊聽，或是重置裝置設定，而且該業者與多個品牌合作，在全球市場皆有鋪貨，估計光是在英國就有超過1萬臺含有相關漏洞的GPS追蹤器。

GPS追蹤器通常是爲老人或小孩所設計的，可在超出活動範圍時傳送警報予緊急聯絡人，電池續航力高達數月。新款的GPS追蹤器配有獨立的電話號碼，可通過行動網絡建立連結，允許親友藉由文字簡訊傳送命令以得知用戶位置，撥打電話以啓用用戶的麥克風，設定警報，還能鎖住裝置，變更裝置密碼，重啓或是重置裝置等。

它內建了PIN碼功能，當親友要傳送命令時必須先輸入PIN碼，不過在該裝置的預設值中，PIN碼功能是關閉的，此外，有兩項命令完全不需PIN碼，亦即重啓裝置與重置裝置，而就算啓用了PIN碼，一但裝置自遠端被重置，親友完全不需要PIN碼就能傳送命令，黑客亦如是。

於是，裝置上的保護功能幾乎是無效的。意謂着黑客只要知道裝置的電話號碼就能恣意傳送各種命令，得知用戶的即時位置，或是自遠端啓用裝置麥克風，竊聽用戶或四周的聲音。

研究人員猜測這些裝置的電話號碼是大批購買的，便以手上所持有的GPS追蹤裝置電話號碼進行猜測，一次傳送命令給2,500個號碼，結果收到175個GPS追蹤裝置的回應。

Fidus指出，要修補相關漏洞並不難，只要規定任何的配置變更都必須輸入PIN碼，以及僅限緊急聯絡人得以要求地點消息或啓用裝置麥克風即可，但這些裝置已被不同的品牌銷售到世界各地，可能必須執行大規模的召回活動才能修補。

Fidus並未公佈該裝置的中國製造商名稱，也未揭露銷售此一裝置的品牌業者，僅說除了英國之外，在美國、澳洲、芬蘭及德國都能看到此一產品的蹤跡。