Истраживачи показују да је популарни ГПС трагач рањив на хакере

  • Истраживачи су открили критичне пропусте у популарном ГПС трагачу који се користи у милионима возила.
  • Грешке остају неоткривене пошто произвођач није успео да ступи у контакт са истраживачима, па чак ни са Агенцијом за сајбер безбедност и инфраструктурну безбедност (ЦИСА).
  • Ово је само физичка манифестација проблема који лежи у основи читавог екосистема паметних уређаја, предлажу стручњаци за безбедност.
Возила на аутопуту са зеленим правоугаоницима који циљају на неколико њих.

Јохнер Имагес / Гетти Имагес

Истраживачи безбедности имају откривене озбиљне рањивости у популарном ГПС трагачу који се користи у преко милион возила широм света.

Према истраживачима са добављачем безбедности БитСигхт, ако се искористе, шест рањивости у МиЦОДУС МВ720 ГПС трацкеру за возила може омогућити актерима претњи да приступе и контролишу функције уређаја, укључујући праћење возила или искључивање горива снабдевање. Док су стручњаци за безбедност изразили забринутост због слаба безбедност у паметним уређајима са омогућеним интернетом Све у свему, истраживање БитСигхт-а је посебно забрињавајуће и за нашу приватност и за безбедност.

„Нажалост, ове рањивости није тешко искористити“, приметио је Педро Умбелино, главни истраживач безбедности у БитСигхт-у, у саопштењу за штампу. „Основни недостаци у укупној архитектури система овог добављача постављају значајна питања о рањивости других модела.“

Даљинско управљање

У извештај, БитСигхт каже да се усредсредио на МВ720 јер је то био најјефтинији модел компаније који нуди могућности против крађе, искључења горива, даљинског управљања и геофенцинга. Тракер са омогућеном мобилном мрежом користи СИМ картицу за пренос статуса и ажурирања локације на сервере који подржавају и дизајниран је да прима команде од својих легитимних власника путем СМС-а.

БитСигхт тврди да је открио пропусте без много труда. Чак је развио код за доказ концепта (ПоЦс) за пет недостатака како би показао да лоши актери могу да искористе рањивости у дивљини.

Аутомобили и камиони паркирани дуж улице.

зхенгхуа зхухаи Кина / Гетти Имагес

И нису само појединци ти који би могли бити погођени. Тракери су популарни код компанија, као и код владиних, војних и агенција за спровођење закона. Ово је навело истраживаче да поделе своје истраживање са ЦИСА након што није успело да изазове позитиван резултат одговор од Шенжен, кинеског произвођача и добављача аутомобилске електронике и Прибор.

Након што ЦИСА такође није успела да добије одговор од МиЦОДУС-а, агенција је преузела на себе да дода грешке у уобичајене рањивости и изложености (ЦВЕ) и доделио им оцену Цоммон Вулнерабилити Сцоринг Систем (ЦВСС), при чему је неколико њих добило оцену критичне озбиљности од 9,8 од 10.

Искоришћавање ових рањивости омогућило би многе могуће сценарије напада, који би могли имати „катастрофалне, па чак и опасне по живот импликације“, напомињу истраживачи у извештају.

Јефтина узбудјења

ГПС трагач који се лако може искористити истиче многе ризике са тренутном генерацијом уређаја Интернета ствари (ИоТ), примећују истраживачи.

Рогер Гримес, еванђелиста одбране заснован на подацима у фирми за сајбер безбедност КновБе4, сматра да је приватност један од великих проблема било ког ИоТ уређаја који прати некога.

„Поставите веб камеру у свој дом из безбедносних разлога и не можете бити сигурни да вас неће пратити у временима када сте мислили да имате приватност“, рекао је Грајмс за Лифевире преко е-поште. „Ваш мобилни телефон може бити компромитован за снимање ваших разговора. Веб камера вашег лаптопа може да се укључи да снима вас и ваше састанке. А ГПС уређај за праћење вашег аутомобила може се користити за проналажење одређених запослених и онемогућавање возила.”

Истраживачи напомињу да тренутно ГПС трацкер МиЦОДУС МВ720 остаје рањив на поменуте недостатке јер добављач није учинио доступном исправку. Због тога, БитСигхт препоручује да свако ко користи овај ГПС трагач га онемогући док исправка не буде доступна.

Надовезујући се на ово, Гримес објашњава да закрпе представљају још један проблем, јер је посебно тешко инсталирати софтверске поправке на ИоТ уређајима. „Ако мислите да је тешко закрпити обичан софтвер, десет пута је теже закрпити ИоТ уређаје“, рекао је Гримес.

У идеалном свету, сви ИоТ уређаји би имали аутоматско закрпе како би се сва ажурирања аутоматски инсталирала. Али нажалост, Гримес истиче да већина ИоТ уређаја захтева од људи да их ручно ажурирају, скачући кроз све врсте обруча, као што је коришћење незгодне физичке везе.

„Спекулишем да ће 90% рањивих ГПС уређаја за праћење остати рањиво и искористиво ако и када продавац заиста одлучи да их поправи“, рекао је Гримес. „ИоТ уређаји су пуни рањивости и то се неће променити у будућности без обзира на то колико ових прича изађе.”