Badacze pokazują, że popularny tracker GPS jest podatny na ataki hakerów
- Naukowcy odkryli krytyczne luki w popularnym trackerze GPS używanym w milionach pojazdów.
- Błędy pozostają nienaprawione, ponieważ producent nie nawiązał współpracy z badaczami, a nawet z Agencją ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA).
- To tylko fizyczny przejaw problemu, który leży u podstaw całego ekosystemu urządzeń inteligentnych, sugerują eksperci ds. bezpieczeństwa.
Johner Images / Getty Images
Badacze bezpieczeństwa odkrył poważne luki w zabezpieczeniach w popularnym trackerze GPS używanym w ponad milionie pojazdów na całym świecie.
Według badaczy z dostawcą zabezpieczeń BitSight, jeśli zostaną wykorzystane, sześć luk w lokalizatorze GPS pojazdu MiCODUS MV720 może umożliwić cyberprzestępcom dostęp i kontrolę funkcji urządzenia, w tym śledzenie pojazdu lub odcięcie jego paliwa; dostarczać. Podczas gdy eksperci ds. bezpieczeństwa wyrazili zaniepokojenie luźne zabezpieczenia w inteligentnych urządzeniach z dostępem do Internetu ogólnie rzecz biorąc, badanie BitSight jest szczególnie niepokojące zarówno dla naszej prywatności, jak i bezpieczeństwa.
„Niestety te luki nie są trudne do wykorzystania” zauważył Pedro Umbelino, główny badacz bezpieczeństwa w BitSight, w komunikacie prasowym. „Podstawowe wady w ogólnej architekturze systemu tego dostawcy rodzą poważne pytania dotyczące podatności innych modeli”.
Pilot
w raportBitSight twierdzi, że skupił się na MV720, ponieważ był to najtańszy model firmy, który oferuje funkcje antykradzieżowe, odcięcie paliwa, zdalne sterowanie i funkcje geofencing. Tracker z obsługą sieci komórkowych wykorzystuje kartę SIM do przesyłania aktualizacji statusu i lokalizacji do serwerów obsługujących i jest przeznaczony do odbierania poleceń od swoich prawowitych właścicieli za pośrednictwem SMS-ów.
BitSight twierdzi, że odkrył luki bez większego wysiłku. Opracowano nawet kod dowodu koncepcji (PoC) dla pięciu błędów, aby wykazać, że luki mogą być wykorzystywane na wolności przez złe podmioty.
zhenghua zhuhai Chiny / Getty Images
I to nie tylko osoby, które mogą zostać dotknięte. Urządzenia śledzące są popularne wśród firm, a także organów rządowych, wojskowych i organów ścigania. Skłoniło to naukowców do podzielenia się swoimi badaniami z CISA po tym, jak nie udało się uzyskać pozytywnego wyniku odpowiedź od chińskiego producenta i dostawcy elektroniki samochodowej z Shenzhen i Akcesoria.
Po tym, jak CISA również nie uzyskała odpowiedzi od MiCODUS, agencja podjęła się dodania błędów do Common Vulnerabilities and Exposures (CVE) i przypisał im wynik Common Vulnerability Scoring System (CVSS), przy czym kilka z nich uzyskało krytyczny wynik ważności 9,8 z 10.
Wykorzystywanie tych luk pozwoliłoby na wiele możliwych scenariuszy ataków, które mogłyby mieć „katastrofalne, a nawet zagrażające życiu konsekwencje”, zauważają badacze w raporcie.
Tanie emocje
Łatwy do wykorzystania tracker GPS podkreśla wiele zagrożeń związanych z obecną generacją urządzeń Internetu Rzeczy (IoT), zauważają naukowcy.
Roger Grimes, ewangelista obrony opartej na danych w firmie zajmującej się cyberbezpieczeństwem KnowBe4, wyraża opinię, że jednym z największych problemów każdego urządzenia IoT, które śledzi kogoś, jest prywatność.
„Umieść w domu kamerę internetową ze względów bezpieczeństwa, a nie możesz mieć pewności, że nie będzie cię śledzić w czasach, gdy myślałeś, że masz prywatność” – powiedział Grimes w wiadomości e-mail dla Lifewire. „Twój telefon komórkowy może zostać skompromitowany, aby nagrywać rozmowy. Kamerę internetową laptopa można włączyć, aby nagrywać Ciebie i Twoje spotkania. A urządzenie śledzące GPS w Twoim samochodzie może służyć do znajdowania konkretnych pracowników i wyłączania pojazdów”.
Naukowcy zauważają, że obecnie tracker GPS MiCODUS MV720 pozostaje podatny na wspomniane wady, ponieważ sprzedawca nie udostępnił poprawki. Z tego powodu BitSight zaleca każdemu, kto korzysta z tego modułu śledzącego GPS, wyłączenie go do czasu udostępnienia poprawki.
Opierając się na tym, Grimes wyjaśnia, że łatanie stanowi kolejny problem, ponieważ instalowanie poprawek oprogramowania na urządzeniach IoT jest szczególnie trudne. „Jeśli uważasz, że łatanie zwykłego oprogramowania jest trudne, łatanie urządzeń IoT jest dziesięć razy trudniejsze”, powiedział Grimes.
W idealnym świecie wszystkie urządzenia IoT miałyby funkcję automatycznego aktualizowania, aby automatycznie instalować wszelkie aktualizacje. Niestety, Grimes wskazuje, że większość urządzeń IoT wymaga od ludzi ręcznej aktualizacji, przeskakując przez wszelkiego rodzaju obręcze, takie jak korzystanie z niewygodnego połączenia fizycznego.
„Spekuluję, że 90% podatnych na ataki urządzeń śledzących GPS pozostanie podatnych na ataki i będzie można je wykorzystać, jeśli i kiedy sprzedawca rzeczywiście zdecyduje się je naprawić” – powiedział Grimes. „Urządzenia IoT są pełne luk w zabezpieczeniach i nie zmieni się to w przyszłości, bez względu na to, ile z tych historii się pojawi”.