Forskere viser, at populær GPS-tracker er sårbar over for hackere

Indholdsfortegnelse:

Forskere viser, at populær GPS-tracker er sårbar over for hackere
Forskere viser, at populær GPS-tracker er sårbar over for hackere
Anonim

Key takeaways

  • Forskere har opdaget kritiske sårbarheder i en populær GPS-tracker, der bruges i millioner af køretøjer.
  • Feglene forbliver uoprettede, da producenten har undladt at engagere sig med forskerne og endda Cybersecurity and Infrastructure Security Agency (CISA).
  • Dette er blot en fysisk manifestation af et problem, der ligger til grund for hele smartenhedens økosystem, foreslår sikkerhedseksperter.
Image
Image

Sikkerhedsforskere har afsløret alvorlige sårbarheder i en populær GPS-tracker, der bruges i over en million køretøjer rundt om i verden.

Ifølge forskerne med sikkerhedsleverandøren BitSight, hvis de udnyttes, kunne de seks sårbarheder i MiCODUS MV720 køretøjets GPS-tracker gøre det muligt for trusselsaktører at få adgang til og kontrollere enhedens funktioner, herunder sporing af køretøjet eller afbrydelse af brændstof. levere. Mens sikkerhedseksperter har udtrykt bekymring over den slappe sikkerhed i smarte, internetaktiverede enheder generelt, er BitSight-forskningen særligt bekymrende for både vores privatliv og sikkerhed.

“Desværre er disse sårbarheder ikke svære at udnytte,” bemærkede Pedro Umbelino, ledende sikkerhedsforsker hos BitSight, i en pressemeddelelse. "Grundlæggende fejl i denne leverandørs overordnede systemarkitektur rejser væsentlige spørgsmål om andre modellers sårbarhed."

Fjernbetjening

I rapporten siger BitSight, at det fokuserede på MV720, da det var virksomhedens billigste model, der tilbyder anti-tyveri, brændstofafskæring, fjernbetjening og geofencing-funktioner. Den mobilaktiverede tracker bruger et SIM-kort til at sende status- og placeringsopdateringer til understøttende servere og er designet til at modtage kommandoer fra sine legitime ejere via SMS.

BitSight hævder, at det opdagede sårbarhederne uden stor indsats. Det udviklede endda proof of concept (PoCs) kode for fem af fejlene for at demonstrere, at sårbarhederne kan udnyttes i naturen af dårlige skuespillere.

Image
Image

Og det er ikke kun enkeltpersoner, der kan blive berørt. Trackerne er populære hos virksomheder såvel som hos regeringen, militæret og retshåndhævende myndigheder. Dette fik forskerne til at dele deres forskning med CISA, efter at det ikke lykkedes at fremkalde et positivt svar fra den Shenzhen, Kina-baserede producent og leverandør af bilelektronik og tilbehør.

Efter at CISA heller ikke fik et svar fra MiCODUS, påtog agenturet sig selv at tilføje fejlene til listen Common Vulnerabilities and Exposures (CVE) og tildelte dem en Common Vulnerability Scoring System (CVSS) score, hvor et par af dem opnåede en kritisk alvorlighedsscore på 9.8 ud af 10.

Udnyttelsen af disse sårbarheder ville give mulighed for mange mulige angrebsscenarier, som kunne have "katastrofe og endda livstruende implikationer", bemærker forskerne i rapporten.

Cheap Thrills

Den let udnyttelige GPS-tracker fremhæver mange af risiciene ved den nuværende generation af Internet of Things (IoT)-enheder, bemærker forskerne.

Roger Grimes, fort alte Grimes til Lifewire via e-mail. "Din mobiltelefon kan blive kompromitteret til at optage dine samtaler. Din bærbare computers webcam kan tændes for at optage dig og dine møder. Og din bils GPS-sporingsenhed kan bruges til at finde specifikke medarbejdere og deaktivere køretøjer."

Forskerne bemærker, at MiCODUS MV720 GPS-trackeren i øjeblikket er sårbar over for de nævnte fejl, da leverandøren ikke har stillet en rettelse til rådighed. På grund af dette anbefaler BitSight, at alle, der bruger denne GPS-tracker, deaktiverer den, indtil en rettelse er tilgængelig.

Med udgangspunkt i dette forklarer Grimes, at patching udgør et andet problem, da det er særligt svært at installere softwarerettelser på IoT-enheder. "Hvis du synes, det er svært at patche almindelig software, er det ti gange så svært at patche IoT-enheder," sagde Grimes.

I en ideel verden ville alle IoT-enheder have auto-patching for at installere eventuelle opdateringer automatisk. Men desværre påpeger Grimes, at de fleste IoT-enheder kræver, at folk manuelt opdaterer dem, hopper gennem alle slags bøjler, såsom at bruge en ubekvem fysisk forbindelse.

"Jeg vil spekulere i, at 90 % af sårbare GPS-sporingsenheder vil forblive sårbare og udnyttelige, hvis og når leverandøren faktisk beslutter sig for at rette dem," sagde Grimes. "IoT-enheder er fulde af sårbarheder, og det vil ikke forandring, der går ind i fremtiden, uanset hvor mange af disse historier, der udkommer."

Anbefalede: