Tutkijat osoittavat, että suosittu GPS-seuranta on alttiina hakkereille

July 23, 2022
SisäänUutiset Internet Turvallisuus

Tutkijat ovat havainneet kriittisiä haavoittuvuuksia suositusta GPS-seurannasta, jota käytetään miljoonissa ajoneuvoissa.
Virheet ovat edelleen korjaamattomia, koska valmistaja ei ole onnistunut ottamaan yhteyttä tutkijoihin eikä edes Cybersecurity and Infrastructure Security Agencyn (CISA) kanssa.
Tämä on vain fyysinen ilmentymä koko älylaitteiden ekosysteemin taustalla olevasta ongelmasta, ehdottavat tietoturvaasiantuntijat.

Ajoneuvot moottoritiellä, joissa on vihreät suorakulmiot, jotka kohdistuvat useisiin niistä. — Johner Images / Getty Images

Turvallisuustutkijoilla on paljastui vakavia haavoittuvuuksia suositussa GPS-seurantalaitteessa, jota käytetään yli miljoonassa ajoneuvossa ympäri maailmaa.

Tietoturvatoimittaja BitSightin tutkijoiden mukaan MiCODUS MV720 -ajoneuvon GPS-seurantalaitteen kuusi haavoittuvuutta, jos niitä hyödynnetään voi antaa uhkatekijöille mahdollisuuden käyttää laitteen toimintoja ja hallita niitä, mukaan lukien ajoneuvon jäljittäminen tai sen polttoaineen katkaiseminen toimittaa. Vaikka turvallisuusasiantuntijat ovat ilmaisseet huolensa löyhä turvallisuus älykkäissä, Internet-yhteensopivissa laitteissa

kaiken kaikkiaan BitSight-tutkimus on erityisen huolestuttava sekä yksityisyytemme että turvallisuutemme kannalta.

"Valitettavasti näitä haavoittuvuuksia ei ole vaikea hyödyntää" huomautti Pedro Umbelino, BitSightin tärkein tietoturvatutkija, lehdistötiedotteessa. "Tämän toimittajan yleisen järjestelmäarkkitehtuurin perusvirheet herättävät merkittäviä kysymyksiä muiden mallien haavoittuvuudesta."

Kaukosäädin

Vuonna raportti, BitSight sanoo nollautuneensa MV720:een, koska se oli yhtiön halvin malli, joka tarjoaa varkaudeneston, polttoaineen katkaisun, kauko-ohjauksen ja geoaidat. Mobiilikäyttöinen seurantalaite käyttää SIM-korttia tila- ja sijaintipäivitysten lähettämiseen tukeville palvelimille, ja se on suunniteltu vastaanottamaan komentoja laillisilta omistajilta tekstiviestillä.

BitSight väittää löytäneensä haavoittuvuudet ilman paljon vaivaa. Se jopa kehitti proof of concept (PoCs) -koodin viidelle puutteelle osoittaakseen, että huonot toimijat voivat hyödyntää haavoittuvuuksia luonnossa.

Autoja ja kuorma-autoja pysäköity kadun varrelle. — zhenghua zhuhai Kiina / Getty Images

Eikä se voi koskea vain yksilöitä. Seuraajat ovat suosittuja yritysten sekä hallituksen, armeijan ja lainvalvontaviranomaisten keskuudessa. Tämä sai tutkijat jakamaan tutkimuksensa CISA: n kanssa sen jälkeen, kun se ei saanut aikaan myönteistä Shenzhenissä sijaitsevan autoelektroniikan valmistajan ja toimittajan vastaus Lisätarvikkeet.

Kun CISA ei myöskään saanut vastausta MiCODUS: lta, virasto otti tehtäväkseen lisätä virheet yleisiin haavoittuvuuksiin ja altistumiseen. (CVE) luetteloi ja antoi heille CVSS (Common Vulnerability Scoring System) -pisteet, joista pari ansaitsi kriittisen vakavuuspisteen 9,8/ 10.

Näiden haavoittuvuuksien hyödyntäminen mahdollistaisi monia mahdollisia hyökkäysskenaarioita, joilla voisi olla "tuhoisia ja jopa hengenvaarallisia seurauksia", tutkijat huomauttavat raportissa.

Halpoja jännityksiä

Helposti hyödynnettävä GPS-seuranta tuo esiin monia riskejä nykyisen Internet of Things (IoT) -laitteiden nykysukupolven kanssa, huomauttavat tutkijat.

Roger Grimes, tietopohjainen puolustusevankelista kyberturvallisuusyrityksessä KnowBe4, katsoo, että yksi isoista ongelmista jokaisessa henkilöä seuraavissa IoT-laitteissa on yksityisyys.

"Aseta verkkokamera kotiisi turvallisuussyistä, etkä voi olla varma, ettei se seuraa sinua aikoina, jolloin luulit, että sinulla on yksityisyyttä", Grimes kertoi Lifewirelle sähköpostitse. "Matkapuhelimesi voidaan vaarantaa keskustelujen nauhoittamiseksi. Kannettavan tietokoneen verkkokamera voidaan kytkeä päälle, jotta voit tallentaa sinut ja kokouksesi. Ja autosi GPS-seurantalaitetta voidaan käyttää tiettyjen työntekijöiden etsimiseen ja ajoneuvojen poistamiseen käytöstä."

Tutkijat huomauttavat, että tällä hetkellä MiCODUS MV720 GPS-seurantalaite on edelleen alttiina mainituille puutteille, koska myyjä ei ole antanut korjausta saataville. Tämän vuoksi BitSight suosittelee, että kaikki tämän GPS-seurantalaitteen käyttäjät poistavat sen käytöstä, kunnes korjaus on saatavilla.

Tämän pohjalta Grimes selittää, että korjaus on toinen ongelma, koska ohjelmistokorjausten asentaminen IoT-laitteisiin on erityisen vaikeaa. "Jos luulet, että tavallisten ohjelmistojen korjaaminen on vaikeaa, IoT-laitteiden korjaaminen on kymmenen kertaa vaikeampaa", Grimes sanoi.

Ihanteellisessa maailmassa kaikissa IoT-laitteissa olisi automaattinen korjauspäivitys, jotta päivitykset voidaan asentaa automaattisesti. Mutta valitettavasti Grimes huomauttaa, että useimmat IoT-laitteet vaativat ihmisten päivittämään ne manuaalisesti, hyppäämällä läpi kaikenlaisten vanteiden, kuten käyttämällä epämukavaa fyysistä yhteyttä.

"Arvelisin, että 90 % haavoittuvista GPS-seurantalaitteista pysyy haavoittuvina ja hyödynnettävissä, jos ja kun myyjä todella päättää korjata ne", Grimes sanoi. "IoT-laitteet ovat täynnä haavoittuvuuksia, ja tämä ei muutu tulevaisuudessa, vaikka kuinka monta näistä tarinoista ilmestyisi."