Tyrėjai rodo, kad populiarus GPS sekiklis yra pažeidžiamas įsilaužėlių
- Tyrėjai aptiko svarbių populiaraus GPS sekimo įrenginio, naudojamo milijonuose transporto priemonių, pažeidžiamumą.
- Klaidos lieka nepataisytos, nes gamintojui nepavyko susisiekti su tyrėjais ir net Kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA).
- Tai tik fizinis visos išmaniųjų įrenginių ekosistemos problemos pasireiškimas, teigia saugumo ekspertai.
Johner Images / Getty Images
Saugumo tyrinėtojai turi atskleidė rimtus pažeidžiamumus populiariame GPS sekimo įrenginyje, kuris naudojamas daugiau nei milijone transporto priemonių visame pasaulyje.
Pasak saugos tiekėjo „BitSight“ tyrėjų, šešios transporto priemonės „MiCODUS MV720“ GPS sekimo pažeidžiamumas, jei jomis būtų išnaudojamas. galėtų leisti grėsmės subjektams pasiekti ir valdyti įrenginio funkcijas, įskaitant transporto priemonės sekimą arba degalų išjungimą tiekimas. Nors saugumo ekspertai išreiškė susirūpinimą dėl silpnas saugumas išmaniuosiuose įrenginiuose, kuriuose veikia internetas Apskritai „BitSight“ tyrimas ypač kelia nerimą tiek mūsų privatumui, tiek saugumui.
„Deja, šiais pažeidžiamumais nesunku išnaudoti“, pažymėjo Pedro Umbelino, pagrindinis BitSight saugumo tyrėjas, pranešime spaudai. „Pagrindiniai šio pardavėjo bendros sistemos architektūros trūkumai kelia rimtų klausimų dėl kitų modelių pažeidžiamumo.
Nuotolinio valdymo pultas
Viduje ataskaita, BitSight teigia, kad jis priartėjo prie MV720, nes tai buvo pigiausias bendrovės modelis, siūlantis apsaugos nuo vagystės, degalų išjungimo, nuotolinio valdymo ir geografinės tvoros galimybes. Mobiliojo ryšio stebėjimo priemonė naudoja SIM kortelę, kad perduotų savo būsenos ir vietos naujinius į palaikomus serverius, ir yra sukurta taip, kad gautų komandas iš teisėtų savininkų SMS žinutėmis.
„BitSight“ teigia, kad pažeidžiamumą atrado be didelių pastangų. Jis netgi sukūrė koncepcijos įrodymo (PoC) kodą penkiems trūkumams, siekdamas parodyti, kad pažeidžiamumą gali išnaudoti gamtoje blogi veikėjai.
zhenghua zhuhai China / Getty Images
Ir tai gali būti paveikta ne tik asmenys. Stebėtojai yra populiarūs tarp įmonių, taip pat vyriausybinių, karinių ir teisėsaugos institucijų. Tai paskatino tyrėjus pasidalinti savo tyrimais su CISA, kai nepavyko išgauti teigiamų rezultatų Šendženo, Kinijos automobilių elektronikos ir tiekėjo atsakymas priedai.
Po to, kai CISA taip pat negavo atsakymo iš MiCODUS, agentūra ėmėsi klaidų pridėti prie bendrų pažeidžiamumų ir poveikio. (CVE) sąrašą ir priskyrė jiems bendrosios pažeidžiamumo vertinimo sistemos (CVSS) balą, o keli iš jų gavo kritinį sunkumo balą – 9,8 balo iš 10.
Šių pažeidžiamumų išnaudojimas leistų įgyvendinti daugybę galimų atakų scenarijų, kurie gali turėti „pražūtingų ir net gyvybei pavojingų padarinių“, pažymi tyrėjai ataskaitoje.
Pigūs įspūdžiai
Tyrėjai pažymi, kad lengvai išnaudojamas GPS sekiklis išryškina daugybę pavojų, susijusių su dabartinės kartos daiktų interneto (IoT) įrenginiais.
Rogeris Grimesas, duomenimis pagrįsta gynybos evangelistas kibernetinio saugumo įmonėje KnowBe4, mano, kad viena iš didžiausių bet kurio daiktų interneto įrenginio, kuris ką nors seka, problemų yra privatumas.
„Saugumo sumetimais įdėkite žiniatinklio kamerą savo namuose ir negalite būti užtikrinti, kad ji jūsų nesektų tais laikais, kai manėte, kad turite privatumą“, – „Lifewire“ elektroniniu paštu sakė Grimesas. „Jūsų mobilusis telefonas gali būti pažeistas, kad būtų galima įrašyti jūsų pokalbius. Galima įjungti nešiojamojo kompiuterio internetinę kamerą, kad būtų galima įrašyti jus ir jūsų susitikimus. O jūsų automobilio GPS sekimo įrenginys gali būti naudojamas ieškant konkrečių darbuotojų ir išjungiant transporto priemones.
Tyrėjai pažymi, kad šiuo metu MiCODUS MV720 GPS sekiklis išlieka pažeidžiamas dėl minėtų trūkumų, nes pardavėjas nepateikė pataisymo. Dėl šios priežasties „BitSight“ rekomenduoja visiems, kurie naudojasi šiuo GPS sekikliu, jį išjungti, kol nebus pataisyta.
Remdamasis tuo, Grimesas paaiškina, kad pataisymas yra dar viena problema, nes ypač sunku įdiegti programinės įrangos pataisas daiktų interneto įrenginiuose. „Jei manote, kad sudėtinga pataisyti įprastą programinę įrangą, tai dešimt kartų sunkiau pataisyti daiktų interneto įrenginius“, - sakė Grimesas.
Idealiame pasaulyje visi daiktų interneto įrenginiai turėtų automatinį pataisymą, kad naujinimai būtų įdiegti automatiškai. Deja, Grimesas pabrėžia, kad dauguma daiktų interneto įrenginių reikalauja, kad žmonės juos atnaujintų rankiniu būdu, peršokdami per įvairius lankus, pavyzdžiui, naudodami nepatogų fizinį ryšį.
„Manau, kad 90 % pažeidžiamų GPS sekimo įrenginių išliks pažeidžiami ir išnaudojami, jei ir kai pardavėjas iš tikrųjų nuspręs juos pataisyti“, – sakė Grimesas. „IoT įrenginiai yra pilni pažeidžiamumų, ir tai nepasikeis ateityje, nesvarbu, kiek šių istorijų pasirodys.