Onderzoekers tonen aan dat populaire GPS-tracker kwetsbaar is voor hackers

July 23, 2022
InNieuws Internet Beveiliging

Onderzoekers hebben kritieke kwetsbaarheden ontdekt in een populaire GPS-tracker die in miljoenen voertuigen wordt gebruikt.
De bugs blijven ongepatcht omdat de fabrikant niet in contact is gekomen met de onderzoekers en zelfs met de Cybersecurity and Infrastructure Security Agency (CISA).
Dit is slechts een fysieke manifestatie van een probleem dat ten grondslag ligt aan het hele ecosysteem van slimme apparaten, suggereren beveiligingsexperts.

Voertuigen op een snelweg met groene rechthoeken gericht op meerdere van hen. — Johner-afbeeldingen / Getty-afbeeldingen

Beveiligingsonderzoekers hebben ernstige kwetsbaarheden ontdekt in een populaire GPS-tracker die in meer dan een miljoen voertuigen over de hele wereld wordt gebruikt.

Volgens de onderzoekers van beveiligingsleverancier BitSight kunnen, indien misbruikt, de zes kwetsbaarheden in de MiCODUS MV720 voertuig-GPS-tracker bedreigingsactoren in staat kunnen stellen toegang te krijgen tot de functies van het apparaat en deze te controleren, waaronder het volgen van het voertuig of het afsluiten van de brandstof levering. Hoewel beveiligingsexperts hun bezorgdheid hebben geuit over de

lakse beveiliging op slimme apparaten met internet over het algemeen is het BitSight-onderzoek bijzonder zorgwekkend voor zowel onze privacy als onze veiligheid.

“Helaas zijn deze kwetsbaarheden niet moeilijk te exploiteren”, merkte Pedro Umbelino op, hoofdonderzoeker op het gebied van beveiliging bij BitSight, in een persbericht. "Basisfouten in de algehele systeemarchitectuur van deze leverancier roepen belangrijke vragen op over de kwetsbaarheid van andere modellen."

Afstandsbediening

In de rapport, zegt BitSight dat het op de MV720 is gericht, omdat het het goedkoopste model van het bedrijf was dat antidiefstal-, brandstofafsluitings-, afstandsbedienings- en geofencing-mogelijkheden biedt. De mobiele tracker gebruikt een simkaart om de status- en locatie-updates naar ondersteunende servers te verzenden en is ontworpen om via sms opdrachten van de legitieme eigenaren te ontvangen.

BitSight beweert dat het de kwetsbaarheden zonder veel moeite heeft ontdekt. Het ontwikkelde zelfs proof of concept (PoC's) code voor vijf van de fouten om aan te tonen dat de kwetsbaarheden in het wild kunnen worden uitgebuit door kwaadwillenden.

Auto's en vrachtwagens geparkeerd langs de straat. — zhenghua zhuhai China / Getty Images

En het zijn niet alleen individuen die kunnen worden getroffen. De trackers zijn populair bij bedrijven, maar ook bij de overheid, het leger en wetshandhavingsinstanties. Dit bracht de onderzoekers ertoe hun onderzoek met de CISA te delen nadat het geen positief resultaat had opgeleverd reactie van de in Shenzhen, China gevestigde fabrikant en leverancier van auto-elektronica en: accessoires.

Nadat de CISA ook geen reactie van MiCODUS had gekregen, nam het bureau het op zich om de bugs toe te voegen aan de veelvoorkomende kwetsbaarheden en blootstellingen (CVE) lijst en kende ze een Common Vulnerability Scoring System (CVSS) -score toe, waarbij een paar van hen een kritieke ernstscore van 9,8 behaalden 10.

De exploitatie van deze kwetsbaarheden zou veel mogelijke aanvalsscenario's mogelijk maken, die "rampzalige en zelfs levensbedreigende implicaties" zouden kunnen hebben, merken de onderzoekers in het rapport op.

Goedkope sensatie

De gemakkelijk te exploiteren GPS-tracker benadrukt veel van de risico's van de huidige generatie Internet of Things (IoT)-apparaten, merken de onderzoekers op.

Roger Grimes, datagedreven defensie-evangelist bij cyberbeveiligingsbedrijf KnowBe4, meent dat privacy een van de grote problemen is van elk IoT-apparaat dat iemand volgt.

"Zet een webcamera in je huis voor veiligheidsdoeleinden, en je kunt er niet zeker van zijn dat hij je niet zal volgen op momenten dat je dacht dat je privacy had", vertelde Grimes via e-mail aan Lifewire. “Je mobiele telefoon kan worden gecompromitteerd om je gesprekken op te nemen. De webcam van uw laptop kan worden ingeschakeld om u en uw vergaderingen op te nemen. En het gps-volgsysteem van je auto kan worden gebruikt om specifieke werknemers te vinden en voertuigen uit te schakelen.”

De onderzoekers merken op dat de MiCODUS MV720 GPS-tracker momenteel kwetsbaar blijft voor de genoemde gebreken, aangezien de leverancier geen oplossing beschikbaar heeft gesteld. Daarom raadt BitSight aan dat iedereen die deze GPS-tracker gebruikt, deze uitschakelt totdat er een oplossing beschikbaar is.

Hierop voortbouwend, legt Grimes uit dat patching een ander probleem vormt, omdat het bijzonder moeilijk is om softwarefixes op IoT-apparaten te installeren. "Als je denkt dat het moeilijk is om reguliere software te patchen, is het tien keer zo moeilijk om IoT-apparaten te patchen", zegt Grimes.

In een ideale wereld zouden alle IoT-apparaten auto-patching hebben om eventuele updates automatisch te installeren. Maar helaas wijst Grimes erop dat de meeste IoT-apparaten mensen nodig hebben om ze handmatig bij te werken, waarbij ze door allerlei hoepels springen, zoals het gebruik van een onhandige fysieke verbinding.

"Ik vermoed dat 90% van de kwetsbare GPS-trackingapparatuur kwetsbaar en exploiteerbaar zal blijven als en wanneer de leverancier besluit ze te repareren", zegt Grimes. "IoT-apparaten zitten vol kwetsbaarheden, en dit zal in de toekomst niet veranderen, hoeveel van deze verhalen er ook uitkomen."