Forskere viser, at populær GPS-tracker er sårbar over for hackere
- Forskere har opdaget kritiske sårbarheder i en populær GPS-tracker, der bruges i millioner af køretøjer.
- Fejlene forbliver uoprettede, da producenten har undladt at engagere sig med forskerne og endda Cybersecurity and Infrastructure Security Agency (CISA).
- Dette er blot en fysisk manifestation af et problem, der ligger til grund for hele smartenhedens økosystem, foreslår sikkerhedseksperter.
Johner Images / Getty Images
Det har sikkerhedsforskere afdækket alvorlige sårbarheder i en populær GPS-tracker, der bruges i over en million køretøjer rundt om i verden.
Ifølge forskerne med sikkerhedsleverandøren BitSight, hvis de udnyttes, de seks sårbarheder i MiCODUS MV720 køretøjets GPS-tracker kunne gøre det muligt for trusselsaktører at få adgang til og kontrollere enhedens funktioner, herunder sporing af køretøjet eller afbrydelse af brændstof levere. Mens sikkerhedseksperter har udtrykt bekymring over slap sikkerhed i smarte, internetaktiverede enheder samlet set er BitSight-forskningen særligt bekymrende for både vores privatliv og sikkerhed.
"Desværre er disse sårbarheder ikke svære at udnytte," bemærkede Pedro Umbelino, hovedsikkerhedsforsker hos BitSight, i en pressemeddelelse. "Grundlæggende fejl i denne leverandørs overordnede systemarkitektur rejser væsentlige spørgsmål om sårbarheden af andre modeller."
Fjernbetjening
I den rapport, siger BitSight, at det blev nulstillet på MV720, da det var virksomhedens billigste model, der tilbyder tyverisikring, brændstofafbrydelse, fjernbetjening og geofencing-funktioner. Den mobilaktiverede tracker bruger et SIM-kort til at sende status- og placeringsopdateringer til understøttende servere og er designet til at modtage kommandoer fra sine legitime ejere via SMS.
BitSight hævder, at det opdagede sårbarhederne uden stor indsats. Det udviklede endda proof of concept (PoCs) kode for fem af fejlene for at demonstrere, at sårbarhederne kan udnyttes i naturen af dårlige skuespillere.
zhenghua zhuhai Kina / Getty Images
Og det er ikke kun enkeltpersoner, der kan blive ramt. Trackerne er populære hos virksomheder såvel som hos regeringen, militæret og retshåndhævende myndigheder. Dette fik forskerne til at dele deres forskning med CISA, efter at det ikke lykkedes at fremkalde en positiv svar fra den Shenzhen, Kina-baserede producent og leverandør af bilelektronik og tilbehør.
Efter at CISA heller ikke kunne få et svar fra MiCODUS, påtog agenturet sig selv at tilføje fejlene til Common Vulnerabilities and Exposures (CVE) liste og tildelt dem en Common Vulnerability Scoring System (CVSS)-score, hvor et par af dem opnåede en kritisk alvorlighedsscore på 9,8 ud af 10.
Udnyttelsen af disse sårbarheder ville give mulighed for mange mulige angrebsscenarier, som kunne have "katastrofe og endda livstruende implikationer," bemærker forskerne i rapporten.
Billige Thrills
Den let udnyttelige GPS-tracker fremhæver mange af risiciene med den nuværende generation af Internet of Things (IoT) enheder, bemærker forskerne.
Roger Grimes, datadrevet forsvarsevangelist hos cybersikkerhedsfirma KnowBe4, mener, at et af de store problemer ved enhver IoT-enhed, der sporer nogen, er privatlivets fred.
"Placer et webkamera i dit hjem af sikkerhedsmæssige årsager, og du kan ikke være sikker på, at det ikke vil spore dig på tidspunkter, hvor du troede, du havde privatliv," sagde Grimes til Lifewire via e-mail. "Din mobiltelefon kan blive kompromitteret til at optage dine samtaler. Din bærbare computers webcam kan tændes for at optage dig og dine møder. Og din bils GPS-sporingsenhed kan bruges til at finde specifikke medarbejdere og deaktivere køretøjer."
Forskerne bemærker, at MiCODUS MV720 GPS-trackeren i øjeblikket forbliver sårbar over for de nævnte fejl, da leverandøren ikke har stillet en rettelse til rådighed. På grund af dette anbefaler BitSight, at alle, der bruger denne GPS-tracker, deaktiverer den, indtil en rettelse er tilgængelig.
Med udgangspunkt i dette forklarer Grimes, at patching udgør et andet problem, da det er særligt svært at installere softwarerettelser på IoT-enheder. "Hvis du synes, det er svært at patche almindelig software, er det ti gange så svært at patche IoT-enheder," sagde Grimes.
I en ideel verden ville alle IoT-enheder have auto-patching for at installere eventuelle opdateringer automatisk. Men desværre påpeger Grimes, at de fleste IoT-enheder kræver, at folk manuelt opdaterer dem, hopper gennem alle slags bøjler, såsom at bruge en ubekvem fysisk forbindelse.
"Jeg vil gætte på, at 90% af sårbare GPS-sporingsenheder vil forblive sårbare og udnyttelige, hvis og når leverandøren faktisk beslutter at reparere dem," sagde Grimes. "IoT-enheder er fulde af sårbarheder, og dette vil ikke ændre sig i fremtiden, uanset hvor mange af disse historier der kommer ud."