Naukowcy pokazują, że popularny tracker GPS jest podatny na ataki hakerów

Spisu treści:

Naukowcy pokazują, że popularny tracker GPS jest podatny na ataki hakerów
Naukowcy pokazują, że popularny tracker GPS jest podatny na ataki hakerów
Anonim

Kluczowe dania na wynos

  • Naukowcy odkryli krytyczne luki w popularnym trackerze GPS używanym w milionach pojazdów.
  • Błędy pozostają nienaprawione, ponieważ producent nie nawiązał współpracy z badaczami, a nawet z Agencją ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA).
  • To tylko fizyczna manifestacja problemu, który leży u podstaw całego ekosystemu urządzeń inteligentnych, sugerują eksperci ds. bezpieczeństwa.
Image
Image

Analitycy bezpieczeństwa odkryli poważne luki w popularnym trackerze GPS, który jest używany w ponad milionie pojazdów na całym świecie.

Według badaczy z dostawcą zabezpieczeń BitSight, jeśli zostaną wykorzystane, sześć luk w lokalizatorze GPS pojazdu MiCODUS MV720 może umożliwić cyberprzestępcom dostęp i kontrolę funkcji urządzenia, w tym śledzenie pojazdu lub odcięcie paliwa dostarczać. Podczas gdy eksperci ds. Bezpieczeństwa wyrazili zaniepokojenie ogólnie słabymi zabezpieczeniami inteligentnych urządzeń z dostępem do Internetu, badanie BitSight jest szczególnie niepokojące zarówno dla naszej prywatności, jak i bezpieczeństwa.

„Niestety, te luki nie są trudne do wykorzystania” – zauważył w komunikacie prasowym Pedro Umbelino, główny badacz bezpieczeństwa w BitSight. „Podstawowe wady w ogólnej architekturze systemu tego dostawcy rodzą poważne pytania dotyczące podatności innych modeli”.

Pilot

W raporcie BitSight mówi, że skupił się na MV720, ponieważ był to najtańszy model firmy, który oferuje funkcje antykradzieżowe, odcięcie paliwa, zdalne sterowanie i geofencing. Urządzenie śledzące z obsługą sieci komórkowych używa karty SIM do przesyłania aktualizacji statusu i lokalizacji do serwerów obsługujących i jest przeznaczone do odbierania poleceń od swoich prawowitych właścicieli za pośrednictwem SMS-ów.

BitSight twierdzi, że odkrył luki bez większego wysiłku. Opracowano nawet kod dowodu koncepcji (PoC) dla pięciu błędów, aby wykazać, że luki mogą być wykorzystywane w środowisku naturalnym przez złych aktorów.

Image
Image

I to nie tylko osoby, które mogą być dotknięte. Urządzenia śledzące są popularne wśród firm, a także organów rządowych, wojskowych i organów ścigania. Skłoniło to naukowców do podzielenia się swoimi badaniami z CISA po tym, jak nie udało się uzyskać pozytywnej reakcji ze strony chińskiego producenta i dostawcy elektroniki i akcesoriów samochodowych z Shenzhen.

Po tym, jak CISA również nie uzyskała odpowiedzi od MiCODUS, agencja podjęła się dodania błędów do listy Common Vulnerabilities and Exposures (CVE) i przyznała im punktację Common Vulnerability Scoring System (CVSS). kilka z nich uzyskało krytyczny wynik ważności równy 9.8 z 10.

Wykorzystanie tych luk pozwoliłoby na wiele możliwych scenariuszy ataków, które mogłyby mieć „katastrofalne, a nawet zagrażające życiu konsekwencje”, zauważają badacze w raporcie.

Tanie emocje

Łatwy do wykorzystania tracker GPS podkreśla wiele zagrożeń związanych z obecną generacją urządzeń Internetu Rzeczy (IoT), zauważają badacze.

Roger Grimes, Grimes powiedział Lifewire przez e-mail. „Twój telefon komórkowy może zostać skompromitowany, aby nagrywać rozmowy. Kamerę internetową laptopa można włączyć, aby nagrywać Ciebie i Twoje spotkania. A urządzenie śledzące GPS w Twoim samochodzie może służyć do znajdowania konkretnych pracowników i wyłączania pojazdów”.

Naukowcy zauważają, że obecnie tracker GPS MiCODUS MV720 pozostaje podatny na wspomniane wady, ponieważ sprzedawca nie udostępnił poprawki. W związku z tym BitSight zaleca każdemu, kto korzysta z tego modułu śledzącego GPS, wyłączenie go do czasu udostępnienia poprawki.

Opierając się na tym, Grimes wyjaśnia, że łatanie stanowi kolejny problem, ponieważ instalowanie poprawek oprogramowania na urządzeniach IoT jest szczególnie trudne. „Jeśli uważasz, że łatanie zwykłego oprogramowania jest trudne, łatanie urządzeń IoT jest dziesięć razy trudniejsze” - powiedział Grimes.

W idealnym świecie wszystkie urządzenia IoT miałyby funkcję automatycznego aktualizowania, aby automatycznie instalować wszelkie aktualizacje. Niestety, Grimes wskazuje, że większość urządzeń IoT wymaga od ludzi ręcznej aktualizacji, przeskakując przez wszelkiego rodzaju obręcze, takie jak korzystanie z niewygodnego połączenia fizycznego.

„Spekuluję, że 90% podatnych na ataki urządzeń śledzących GPS pozostanie podatnych na ataki i będzie można je wykorzystać, jeśli i kiedy sprzedawca faktycznie zdecyduje się je naprawić” – powiedział Grimes. „Urządzenia IoT są pełne luk, a to nie zmieniaj się w przyszłość, bez względu na to, ile z tych historii się pojawi.”

Zalecana: