GPS化身老大哥的眼線：美國產業報告曝中國定位系統安全漏洞

吳介聲 25 Jul, 2022

美國知名資訊安全公司近期發布報告指出，中國製造的一款汽車GPS（全球衛星定位系統）有嚴重安全漏洞，威脅行車、供應鏈、個人生活甚至國家安全。圖非文章所指之GPS，示意圖。圖／美聯社

美國知名資訊安全公司近期發布報告指出，中國製造的一款汽車GPS（全球衛星定位系統）有嚴重安全漏洞，威脅行車、供應鏈、個人生活甚至國家安全。這款風行全球的GPS已經普及169個國家，使用者多達一百五十萬個人或者企業。

《美國之音》7月21日報導，位於美國波士頓的資訊安全與評級公司BitSight於7月19日指出，中國深圳米可達斯電子科技公司（MiCODUS）所製造型號MV720的GPS中，至少存在六個嚴重缺陷，這些缺陷可能讓車輛被監控，在行駛中被切斷油氣供應，被控制行駛方向，甚至遭「攻擊者」遠端操控狹持。BitSight呼籲使用者在米可達斯的解決方案出爐之前，應該移除裝置。

根據2020年底一則在台灣資安展覽訊息，BitSight為美國安全評級標準，與多國政府合作，藉由安全評級分析協助管理國家網路風險，大規模識別資安漏洞、模擬系統性風險以降低國家級事件可能性，並且衡量政策效能。全球38個國家與地區已經使用BitSight解決方案來監控管理關鍵國家基礎設施的網路風險，約達即全球五分之一的政府，包括比利時、巴西、德國、冰島、荷蘭、西班牙及美國。

GPS安全漏洞備受忽視

BitSight指出，GPS通常被用於監控車輛，主為安全與防竊，可以收集車輛位置數據，監測司機行為和燃料使用狀況，甚至可以透過遠端遙控切斷燃料或警報，鎖定或解鎖車門等等。然而GPS的安全漏洞也會導致被跟蹤與遠端操控，BitSight本專案首席研究員翁貝里諾（Pedro Umbelino）表示甚至可能被威脅支付加密貨幣贖金，強調「不幸的是，這些安全漏洞很容易被利用。」

BitSight雖未列出該GPS主要用戶名單，但指出用戶包括一家排名《財富》雜誌50強的能源公司和航空公司、西歐某國政府，以及南美和東歐兩個國家軍方，看來茲事體大。

報告發布當日，美國國土安全部所屬網路安全和基礎設施安全局（CISA）也對此現象發出警告，表達高度擔憂。BitSight表示從去年9月起，開始與米可達斯討論此GPS安全問題，甚至今年4月底CISA也介入調查，但是米可達斯回應消極，溝通無效。

《美國之音》指出，米可達斯公司相關負責人李奧（Leo）7月20日以Skype回應，去年有自稱代表BitSight人士發電郵要討論安全漏洞問題，但是他以為是垃圾郵件並未重視，表示如果真有漏洞，會去查漏補缺。

米可達斯的GPS安全漏洞恐怕只是中國電子裝置安全問題的冰山一角，2019年9月台灣資訊科技產業媒體iThome報導，著名防毒軟體公司艾維斯特的Avast Threat Labs曾經發現深圳叁陸伍物聯科技有限公司（Shenzhen i365 Tech）生產的GPS，網站登入機制有安全漏洞，導致用戶帳號與通訊內容被盜，或者洩漏位置。

當時Avast Threat Labs研究人員發現，叁陸伍物聯科技近三十款用於追蹤兒童、寵物位置與照料長輩的GPS有許多安全漏洞，而全球用戶竟多達六十萬。研究人員發現產品漏洞後，於6月底通知相關企業，但經過兩個月未有回應，因而揭露消息。

賣得好比安全重要得多？

不久之後2019年12月底，中國媒體《電子技術設計》（EDN China）引述《DeepTech深科技》報導，指稱包括Avast、Techcrunch、Pen Test Partners、Rapid7等外籍媒體和國際安全軟體公司，相繼揭露多家中國兒童智慧手錶多有安全漏洞問題，至少涉及約四千七百萬部，佩戴者即時GPS位置、語音通話等數據有遭竊之虞。被點名的企業皆來自深圳，包括前述的叁陸伍物聯科技。

中國兒童智慧手錶的GPS安全問題，也許是中國便宜電子產品資安問題氾濫的縮影。《電子技術設計》指出，全球兒童智慧手錶大概有九成來自深圳，很多幾乎沒有技術門檻，或由劣質甚至二手零件拼裝，堪稱地攤貨，由於技術團隊能力很低，所謂數據安全無從談起，只有極少數品牌與產品有能力維持品質與安全。