閉じる
メニュー

研究者は人気のあるGPSトラッカーがハッカーに脆弱であることを示しています

  • 研究者は、数百万台の車両で使用されている人気のあるGPSトラッカーに重大な脆弱性を発見しました。
  • 製造元が研究者やサイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)との関わりに失敗したため、バグにはパッチが適用されていません。
  • これは、スマートデバイスエコシステム全体の根底にある問題の物理的な兆候にすぎないと、セキュリティの専門家は示唆しています。
いくつかをターゲットにした緑色の長方形の高速道路上の車両。

ジョナーイメージズ/ゲッティイメージズ

セキュリティ研究者は 発見された深刻な脆弱性 世界中の100万台以上の車両で使用されている人気のGPSトラッカーで。

セキュリティベンダーのBitSightの研究者によると、悪用された場合、MiCODUSMV720車両GPSトラッカーの6つの脆弱性 脅威の攻撃者が、車両の追跡や燃料の遮断など、デバイスの機能にアクセスして制御できるようにする可能性があります 供給。 セキュリティの専門家は懸念を表明していますが スマートなインターネット対応デバイスのセキュリティが緩い 全体として、BitSightの調査は、プライバシーと安全性の両方について特に懸念されています。

「残念ながら、これらの脆弱性を悪用することは難しくありません」 注目のペドロ・ウンベリノ、プレスリリースでのBitSightの主任セキュリティ研究者。 「このベンダーのシステムアーキテクチャ全体の基本的な欠陥により、他のモデルの脆弱性について重大な疑問が生じます。」

リモコン

の中に 報告、BitSightは、盗難防止、燃料カットオフ、リモートコントロール、およびジオフェンス機能を提供する同社の最も安価なモデルであったため、MV720に焦点を合わせたと述べています。 セルラー対応のトラッカーは、SIMカードを使用して、ステータスと場所の更新をサポートサーバーに送信し、SMSを介して正当な所有者からコマンドを受信するように設計されています。

BitSightは、多くの努力なしに脆弱性を発見したと主張しています。 脆弱性が悪意のある攻撃者によって実際に悪用される可能性があることを実証するために、5つの欠陥の概念実証(PoC)コードも開発しました。

車やトラックが通りに沿って駐車しました。

zhenghuazhuhai中国/ゲッティイメージズ

そして、影響を受ける可能性があるのは個人だけではありません。 トラッカーは、企業だけでなく、政府、軍隊、法執行機関にも人気があります。 これにより、研究者は、ポジティブなものを引き出すことができなかった後、CISAと研究を共有することになりました。 中国の深センを拠点とする自動車用電子機器のメーカーおよびサプライヤーからの回答 付属品。

CISAもMiCODUSからの応答を取得できなかった後、CISAはそれを利用して、Common VulnerabilitiesandExposuresにバグを追加しました。 (CVE)リストを作成し、Common Vulnerability Scoring System(CVSS)スコアを割り当てました。そのうちのいくつかは、9.8のクリティカル重大度スコアを獲得しています。 10.

これらの脆弱性の悪用により、「悲惨な、さらには生命を脅かす影響」をもたらす可能性のある多くの攻撃シナリオが可能になると、レポートの研究者は述べています。

チープ・スリルズ

簡単に利用できるGPSトラッカーは、現世代のモノのインターネット(IoT)デバイスのリスクの多くを浮き彫りにしていると研究者たちは述べています。

ロジャー・グライムス、サイバーセキュリティ会社のデータ駆動型防衛エバンジェリスト KnowBe4、誰かを追跡するIoTデバイスの大きな問題の1つはプライバシーであると意見を述べています。

「セキュリティの目的でウェブカメラを家に置いてください。プライバシーがあると思っていたときに追跡されないという保証はありません」とGrimes氏はLifewireにメールで語った。 「あなたの携帯電話はあなたの会話を録音するために危険にさらされる可能性があります。 あなたとあなたの会議を記録するためにあなたのラップトップのウェブカメラをオンにすることができます。 また、車のGPS追跡デバイスを使用して、特定の従業員を見つけたり、車両を無効にしたりすることができます。」

研究者は、ベンダーが修正を利用可能にしていないため、現在、MiCODUSMV720GPSトラッカーは上記の欠陥に対して脆弱なままであると述べています。 このため、BitSightは、このGPSトラッカーを使用している人は、修正が利用可能になるまでそれを無効にすることをお勧めします。

これに基づいて、Grimesは、IoTデバイスにソフトウェア修正プログラムをインストールすることは特に難しいため、パッチ適用には別の問題があると説明しています。 「通常のソフトウェアにパッチを適用するのが難しいと思う場合、IoTデバイスにパッチを適用するのは10倍難しい」とGrimes氏は述べています。

理想的な世界では、すべてのIoTデバイスには、更新を自動的にインストールするための自動パッチが適用されます。 しかし残念ながら、Grimesは、ほとんどのIoTデバイスでは、不便な物理接続の使用など、あらゆる種類のフープを飛び越えて、手動で更新する必要があると指摘しています。

「ベンダーが実際にそれらを修正することを決定した場合、脆弱なGPS追跡デバイスの90%は脆弱であり、悪用可能であると私は推測します」とGrimes氏は述べています。 「IoTデバイスには脆弱性がたくさんあります。これらのストーリーがいくつ出てきても、これは将来も変わらないでしょう。」