Výskumníci ukazujú, že populárny GPS sledovač je zraniteľný voči hackerom
- Výskumníci objavili kritické zraniteľnosti v populárnom sledovači GPS používanom v miliónoch vozidiel.
- Chyby zostávajú neopravené, pretože výrobca nedokázal spolupracovať s výskumníkmi a dokonca ani s Agentúrou pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA).
- Podľa bezpečnostných expertov ide len o fyzický prejav problému, ktorý je základom celého ekosystému inteligentných zariadení.
Johner Images / Getty Images
Bezpečnostní výskumníci majú odhalila vážne slabiny v populárnom GPS trackeri, ktorý sa používa vo viac ako milióne vozidiel po celom svete.
Podľa výskumníkov s dodávateľom zabezpečenia BitSight, ak sa zneužije, šesť zraniteľností v GPS sledovacom vozidle MiCODUS MV720 by mohli umožniť aktérom hrozby prístup k funkciám zariadenia a ovládať ich vrátane sledovania vozidla alebo odpojenia jeho paliva zásobovanie. Zatiaľ čo bezpečnostní experti vyjadrili obavy o laxná bezpečnosť v inteligentných zariadeniach s podporou internetu celkovo je výskum BitSight obzvlášť znepokojujúci pre naše súkromie aj bezpečnosť.
„Bohužiaľ, tieto zraniteľnosti nie je ťažké zneužiť,“ poznamenal Pedro Umbelino, hlavný bezpečnostný výskumník v BitSight, v tlačovej správe. "Základné chyby v celkovej architektúre systému tohto dodávateľa vyvolávajú závažné otázky o zraniteľnosti iných modelov."
Diaľkové ovládanie
V správaBitSight hovorí, že sa zameral na MV720, pretože to bol najlacnejší model spoločnosti, ktorý ponúka funkcie proti krádeži, odstavenie paliva, diaľkové ovládanie a funkcie geofencing. Mobilný sledovač používa SIM kartu na prenos aktualizácií svojho stavu a polohy na podporné servery a je navrhnutý tak, aby prijímal príkazy od svojich legitímnych vlastníkov prostredníctvom SMS.
BitSight tvrdí, že odhalil zraniteľné miesta bez veľkého úsilia. Dokonca vyvinula kód proof of concept (PoC) pre päť nedostatkov, aby dokázala, že zraniteľné miesta môžu byť zneužité vo voľnej prírode zlými hráčmi.
zhenghua zhuhai Čína / Getty Images
A postihnutí môžu byť nielen jednotlivci. Sledovače sú obľúbené u spoločností, ako aj u vládnych, vojenských a orgánov činných v trestnom konaní. To viedlo výskumníkov k tomu, aby sa podelili o svoj výskum s CISA po tom, čo sa mu nepodarilo získať pozitívny výsledok odpoveď od výrobcu a dodávateľa automobilovej elektroniky so sídlom v Číne a Shenzhen príslušenstvo.
Po tom, čo CISA tiež nedostala odpoveď od MiCODUS, agentúra sa rozhodla pridať chyby do Spoločných zraniteľností a expozícií. (CVE) a priradil im skóre Common Vulnerability Scoring System (CVSS), pričom niekoľko z nich získalo kritické skóre závažnosti 9,8 z 10.
Využitie týchto zraniteľností by umožnilo mnoho možných scenárov útoku, ktoré by mohli mať „katastrofálne a dokonca život ohrozujúce dôsledky,“ poznamenávajú výskumníci v správe.
Lacné vzrušenie
Ľahko zneužiteľný sledovač GPS poukazuje na mnohé riziká súčasnej generácie zariadení internetu vecí (IoT), poznamenávajú výskumníci.
Roger Grimes, obranca riadený údajmi vo firme zaoberajúcej sa kybernetickou bezpečnosťou KnowBe4, sa domnieva, že jedným z veľkých problémov každého zariadenia internetu vecí, ktoré niekoho sleduje, je súkromie.
„Umiestnite si domov webovú kameru z bezpečnostných dôvodov a nemôžete si byť istí, že vás nebude sledovať v čase, keď ste si mysleli, že máte súkromie,“ povedal Grimes pre Lifewire e-mailom. „Váš mobilný telefón môže byť kompromitovaný, aby ste mohli nahrávať vaše rozhovory. Webovú kameru prenosného počítača je možné zapnúť, aby zaznamenávala vás a vaše stretnutia. A sledovacie zariadenie GPS vášho auta možno použiť na vyhľadanie konkrétnych zamestnancov a deaktiváciu vozidiel.“
Výskumníci poznamenávajú, že v súčasnosti je GPS tracker MiCODUS MV720 zraniteľný voči uvedeným chybám, pretože predajca nesprístupnil opravu. Z tohto dôvodu BitSight odporúča, aby každý, kto používa tento GPS sledovač, ho zakázal, kým nebude k dispozícii oprava.
Na základe toho Grimes vysvetľuje, že záplatovanie predstavuje ďalší problém, pretože je obzvlášť ťažké inštalovať softvérové opravy na zariadenia IoT. „Ak si myslíte, že je ťažké opraviť bežný softvér, je desaťkrát ťažšie opraviť zariadenia IoT,“ povedal Grimes.
V ideálnom svete by všetky zariadenia internetu vecí mali automatickú opravu, aby sa všetky aktualizácie nainštalovali automaticky. Nanešťastie však Grimes poukazuje na to, že väčšina zariadení internetu vecí vyžaduje, aby ich ľudia manuálne aktualizovali a preskakovali cez všetky druhy obručí, napríklad pomocou nepohodlného fyzického pripojenia.
„Predpokladal by som, že 90 % zraniteľných GPS sledovacích zariadení zostane zraniteľných a zneužiteľných, ak a keď sa ich predajca skutočne rozhodne opraviť,“ povedal Grimes. „Zariadenia internetu vecí sú plné zraniteľností a v budúcnosti sa to nezmení bez ohľadu na to, koľko z týchto príbehov vyjde.“