Pētnieki atklāj, ka populārais GPS izsekotājs ir neaizsargāts pret hakeriem

July 23, 2022
InJaunumi Internets Un Drošība

Pētnieki ir atklājuši kritiskas ievainojamības populārajā GPS izsekotājā, ko izmanto miljoniem transportlīdzekļu.
Kļūdas joprojām nav novērstas, jo ražotājam nav izdevies sazināties ar pētniekiem un pat Kiberdrošības un infrastruktūras drošības aģentūru (CISA).
Tā ir tikai fiziska izpausme problēmai, kas ir visas viedierīču ekosistēmas pamatā, norāda drošības eksperti.

Transportlīdzekļi uz automaģistrāles ar zaļiem taisnstūriem, kas vērsti uz vairākiem no tiem. — Johner Images / Getty Images

Drošības pētniekiem ir atklāja nopietnas ievainojamības populārajā GPS izsekotājā, ko izmanto vairāk nekā miljons transportlīdzekļu visā pasaulē.

Pēc drošības pārdevēja BitSight pētnieku domām, sešas MiCODUS MV720 transportlīdzekļa GPS izsekotāja ievainojamības, ja tās tiek izmantotas. varētu ļaut apdraudējuma dalībniekiem piekļūt ierīces funkcijām un kontrolēt tās, tostarp izsekot transportlīdzekli vai pārtraukt tā degvielu piegāde. Lai gan drošības eksperti ir pauduši bažas par vāja drošība viedās, internetam iespējotās ierīcēs kopumā BitSight pētījums ir īpaši satraucošs gan mūsu privātuma, gan drošības ziņā.

"Diemžēl šīs ievainojamības nav grūti izmantot," atzīmēja Pedro Umbelino, BitSight galvenais drošības pētnieks, paziņojumā presei. "Šī pārdevēja vispārējās sistēmas arhitektūras pamata trūkumi rada būtiskus jautājumus par citu modeļu ievainojamību."

Tālvadība

Iekš Ziņot, BitSight saka, ka tas ir pielīdzināms MV720, jo tas bija uzņēmuma lētākais modelis, kas piedāvā pretaizdzīšanas, degvielas atslēgšanu, tālvadības pulti un ģeo nožogojuma iespējas. Mobilo sakaru izsekotājs izmanto SIM karti, lai pārsūtītu tās statusa un atrašanās vietas atjauninājumus uz atbalsta serveriem, un ir paredzēts, lai saņemtu komandas no tā likumīgajiem īpašniekiem, izmantojot SMS.

BitSight apgalvo, ka tas atklājis ievainojamības bez lielas piepūles. Tā pat izstrādāja koncepcijas pierādījumu (PoCs) kodu pieciem trūkumiem, lai parādītu, ka ievainojamības var izmantot savvaļā slikti dalībnieki.

Uz ielas novietotas automašīnas un kravas automašīnas. — zhenghua zhuhai Ķīna / Getty Images

Un tas var ietekmēt ne tikai personas. Izsekotājus iecienījuši uzņēmumi, kā arī valdības, militārās un tiesībaizsardzības iestādes. Tas lika pētniekiem dalīties savos pētījumos ar CISA pēc tam, kad tas nesniedza pozitīvu atbilde no Šenženas (Ķīnas) automobiļu elektronikas ražotāja un piegādātāja Piederumi.

Pēc tam, kad CISA arī nespēja saņemt atbildi no MiCODUS, aģentūra uzņēmās pievienot kļūdas kopējām ievainojamībām un ekspozīcijām. (CVE) sarakstu un piešķīra tiem Common Vulnerability Scoring System (CVSS) punktu, un daži no tiem ieguva kritisko smaguma pakāpi 9,8 no 10.

Šo ievainojamību izmantošana ļautu īstenot daudzus iespējamos uzbrukuma scenārijus, kam varētu būt "katastrofālas un pat dzīvībai bīstamas sekas", atzīmē pētnieki ziņojumā.

Lēti saviļņojumi

Pētnieki atzīmē, ka viegli izmantojamais GPS izsekotājs izceļ daudzus riskus, ko rada pašreizējās lietu interneta (IoT) paaudzes ierīces.

Rodžers Grims, uz datiem orientēts aizsardzības evaņģēlists kiberdrošības uzņēmumā KnowBe4, uzskata, ka viena no lielākajām problēmām jebkurā IoT ierīcē, kas izseko kādu personu, ir privātums.

"Drošības nolūkos ievietojiet tīmekļa kameru savās mājās, un jūs nevarat būt drošs, ka tā jūs neizsekos brīžos, kad uzskatījāt, ka jums ir privātums," Grimes pastāstīja Lifewire e-pastā. "Jūsu mobilais tālrunis var tikt apdraudēts, lai ierakstītu jūsu sarunas. Jūsu klēpjdatora tīmekļa kameru var ieslēgt, lai ierakstītu jūs un jūsu sanāksmes. Un jūsu automašīnas GPS izsekošanas ierīci var izmantot, lai atrastu konkrētus darbiniekus un atspējotu transportlīdzekļus.

Pētnieki atzīmē, ka pašlaik MiCODUS MV720 GPS izsekotājs joprojām ir neaizsargāts pret minētajiem trūkumiem, jo pārdevējs nav darījis pieejamu labojumu. Sakarā ar to BitSight iesaka ikvienam, kas izmanto šo GPS izsekotāju, to atspējot, līdz ir pieejams labojums.

Pamatojoties uz to, Grimes skaidro, ka ielāpēšana rada vēl vienu problēmu, jo IoT ierīcēs ir īpaši grūti instalēt programmatūras labojumus. "Ja uzskatāt, ka ir grūti labot parasto programmatūru, IoT ierīcēm ir desmit reizes grūtāk labot," sacīja Grimes.

Ideālā pasaulē visām IoT ierīcēm būtu automātiska ielāpēšana, lai automātiski instalētu visus atjauninājumus. Taču diemžēl Grimes norāda, ka lielākajai daļai IoT ierīču ir nepieciešams, lai cilvēki tās manuāli atjauninātu, pārejot cauri visa veida stīpām, piemēram, izmantojot neērtu fizisko savienojumu.

"Es domāju, ka 90% neaizsargāto GPS izsekošanas ierīču paliks neaizsargātas un izmantojamas, ja un kad pārdevējs patiešām nolems tās labot," sacīja Grimes. "IoT ierīces ir pilnas ar ievainojamībām, un tas nemainīsies nākotnē neatkarīgi no tā, cik daudz šo stāstu iznāks."