Klíčové poznatky
- Výzkumníci objevili kritická zranitelnost v populárním GPS trackeru používaném v milionech vozidel.
- Chyby zůstávají neopravené, protože výrobce nedokázal spolupracovat s výzkumníky a dokonce ani s Agenturou pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA).
- Toto je jen fyzický projev problému, který je základem celého ekosystému chytrých zařízení, navrhují bezpečnostní experti.
Bezpečnostní výzkumníci odhalili vážné zranitelnosti oblíbeného GPS trackeru, který se používá ve více než milionu vozidel po celém světě.
Podle výzkumníků s dodavatelem zabezpečení BitSight, pokud by bylo zneužito, šest zranitelných míst v GPS trackeru MiCODUS MV720 by mohlo umožnit aktérům ohrožení přístup a ovládání funkcí zařízení, včetně sledování vozidla nebo přerušení dodávky paliva. zásobování. I když bezpečnostní experti vyjádřili obavy ohledně laxního zabezpečení v chytrých zařízeních s připojením k internetu celkově, výzkum BitSight je obzvláště znepokojivý pro naše soukromí i bezpečnost.
„Bohužel, tyto zranitelnosti není těžké zneužít,“poznamenal Pedro Umbelino, hlavní bezpečnostní výzkumník ve společnosti BitSight, v tiskové zprávě. „Základní chyby v celkové architektuře systému tohoto dodavatele vyvolávají závažné otázky ohledně zranitelnosti jiných modelů.“
Dálkové ovládání
Ve zprávě BitSight uvádí, že se zaměřil na MV720, protože to byl nejlevnější model společnosti, který nabízí funkce proti krádeži, přerušení dodávky paliva, dálkové ovládání a funkce geofencing. Sledovač s podporou mobilních sítí používá SIM kartu k přenosu aktualizací svého stavu a polohy na podpůrné servery a je navržen tak, aby přijímal příkazy od svých legitimních vlastníků prostřednictvím SMS.
BitSight tvrdí, že objevil zranitelnost bez velkého úsilí. Dokonce vyvinula kód proof of concept (PoC) pro pět nedostatků, aby prokázala, že zranitelnosti mohou být zneužiti ve volné přírodě špatnými herci.
A nejen jednotlivci mohou být ovlivněni. Sledovače jsou oblíbené u společností, stejně jako u vládních, vojenských a donucovacích orgánů. To vedlo výzkumné pracovníky k tomu, aby se podělili o svůj výzkum s CISA poté, co se mu nepodařilo vyvolat kladnou odpověď od čínského výrobce a dodavatele automobilové elektroniky a příslušenství se sídlem v Shenzhenu.
Poté, co CISA také neobdržela odpověď od MiCODUS, agentura se rozhodla přidat chyby do seznamu Common Vulnerabilities and Exposures (CVE) a přidělila jim skóre Common Vulnerability Scoring System (CVSS), přičemž několik z nich získalo kritické skóre závažnosti 9.8 z 10.
Využití těchto zranitelností by umožnilo mnoho možných scénářů útoku, které by mohly mít „katastrofální a dokonce život ohrožující důsledky“, poznamenávají výzkumníci ve zprávě.
Levné vzrušení
Snadno zneužitelný GPS tracker upozorňuje na mnohá rizika současné generace zařízení internetu věcí (IoT), poznamenávají vědci.
Roger Grimes, řekl Grimes Lifewire e-mailem. "Váš mobilní telefon může být kompromitován, aby nahrál vaše konverzace." Webovou kameru vašeho notebooku lze zapnout a nahrávat vás a vaše schůzky. A sledovací zařízení GPS vašeho auta lze použít k vyhledání konkrétních zaměstnanců a deaktivaci vozidel.“
Výzkumníci poznamenávají, že v současné době je GPS tracker MiCODUS MV720 zranitelný vůči zmíněným chybám, protože prodejce nezpřístupnil opravu. Vzhledem k tomu BitSight doporučuje, aby každý, kdo používá tento GPS tracker, jej deaktivoval, dokud nebude k dispozici oprava.
Na tomto základě Grimes vysvětluje, že patchování představuje další problém, protože je obzvláště obtížné instalovat opravy softwaru na zařízení IoT. „Pokud si myslíte, že je těžké záplatovat běžný software, je desetkrát těžší záplatovat zařízení IoT,“řekl Grimes.
V ideálním světě by všechna zařízení IoT měla automatickou záplatu, aby se automaticky instalovaly aktualizace. Ale bohužel Grimes poukazuje na to, že většina zařízení IoT vyžaduje, aby je lidé ručně aktualizovali a procházeli všemi druhy obručí, jako je použití nepohodlného fyzického připojení.
„Spekuloval bych, že 90 % zranitelných sledovacích zařízení GPS zůstane zranitelných a zneužitelných, pokud a když se prodejce skutečně rozhodne je opravit,“řekl Grimes. „Zařízení IoT jsou plná zranitelností a toto změna jdoucí do budoucnosti bez ohledu na to, kolik z těchto příběhů vyjde.“
