นักวิจัยเผย GPS Tracker ยอดนิยมเสี่ยงต่อแฮกเกอร์
- นักวิจัยได้ค้นพบช่องโหว่ที่สำคัญในตัวติดตาม GPS ยอดนิยมที่ใช้ในยานพาหนะหลายล้านคัน
- ข้อบกพร่องยังไม่ได้รับการแก้ไขเนื่องจากผู้ผลิตล้มเหลวในการมีส่วนร่วมกับนักวิจัยและแม้แต่ Cybersecurity and Infrastructure Security Agency (CISA)
- นี่เป็นเพียงการแสดงออกทางกายภาพของปัญหาที่อยู่ภายใต้ระบบนิเวศของอุปกรณ์อัจฉริยะทั้งหมด ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำ
รูปภาพ Johner / Getty Images
นักวิจัยด้านความปลอดภัยมี เปิดเผยจุดอ่อนที่ร้ายแรง ในเครื่องติดตาม GPS ยอดนิยมที่ใช้ในรถยนต์กว่าล้านคันทั่วโลก
ตามที่นักวิจัยกับ BitSight ผู้จำหน่ายระบบรักษาความปลอดภัย หากถูกโจมตี ช่องโหว่ 6 ประการในเครื่องติดตาม GPS ของยานพาหนะ MiCODUS MV720 สามารถทำให้ผู้คุกคามเข้าถึงและควบคุมการทำงานของอุปกรณ์ได้ รวมถึงการติดตามยานพาหนะหรือการตัดน้ำมันเชื้อเพลิง จัดหา. ในขณะที่ผู้เชี่ยวชาญด้านความปลอดภัยแสดงความกังวลเกี่ยวกับ ความปลอดภัยที่หละหลวมในอุปกรณ์อัจฉริยะที่เปิดใช้งานอินเทอร์เน็ต โดยรวมแล้ว การวิจัย BitSight นั้นน่าเป็นห่วงอย่างยิ่งต่อทั้งความเป็นส่วนตัวและความปลอดภัยของเรา
“น่าเสียดายที่ช่องโหว่เหล่านี้หาประโยชน์ได้ไม่ยาก”
รีโมท
ใน รายงานBitSight กล่าวว่ามันทำให้ MV720 เป็นศูนย์ เนื่องจากเป็นรุ่นที่ถูกที่สุดของบริษัทที่มีความสามารถในการป้องกันการโจรกรรม การตัดน้ำมันเชื้อเพลิง การควบคุมระยะไกล และความสามารถในการกำหนดตำแหน่งทางภูมิศาสตร์ ตัวติดตามที่เปิดใช้งานเซลลูลาร์ใช้ซิมการ์ดเพื่อส่งสถานะและการอัปเดตตำแหน่งไปยังเซิร์ฟเวอร์ที่รองรับและออกแบบมาเพื่อรับคำสั่งจากเจ้าของที่ถูกต้องผ่านทาง SMS
BitSight อ้างว่าค้นพบช่องโหว่โดยไม่ต้องใช้ความพยายามมากนัก มันยังพัฒนาโค้ดการพิสูจน์แนวคิด (PoCs) สำหรับข้อบกพร่องห้าประการเพื่อแสดงให้เห็นว่าช่องโหว่สามารถถูกโจมตีโดยผู้ไม่หวังดี
zhenghua zhuhai รูปภาพจีน / Getty
และไม่ใช่แค่บุคคลที่อาจได้รับผลกระทบ เครื่องมือติดตามได้รับความนิยมจากบริษัทต่างๆ เช่นเดียวกับหน่วยงานรัฐบาล กองทัพ และหน่วยงานบังคับใช้กฎหมาย สิ่งนี้ทำให้นักวิจัยแบ่งปันงานวิจัยของพวกเขากับ CISA หลังจากที่ล้มเหลวในการก่อให้เกิดผลบวก การตอบสนองจากเซินเจิ้น ผู้ผลิตและผู้จำหน่ายอุปกรณ์อิเล็กทรอนิกส์ยานยนต์และ เครื่องประดับ.
หลังจากที่ CISA ล้มเหลวในการรับการตอบสนองจาก MiCODUS หน่วยงานก็รับหน้าที่เพิ่มจุดบกพร่องให้กับช่องโหว่ทั่วไปและการเปิดเผย (CVE) แสดงรายการและกำหนดคะแนน Common Vulnerability Scoring System (CVSS) โดยที่พวกเขาสองคนได้รับคะแนนความรุนแรงที่สำคัญ 9.8 จาก 10.
การใช้ประโยชน์จากช่องโหว่เหล่านี้จะทำให้เกิดสถานการณ์การโจมตีที่อาจเกิดขึ้นได้มากมาย ซึ่งอาจมีผลกระทบ “ร้ายแรงและถึงกับคุกคามถึงชีวิต” นักวิจัยระบุในรายงาน
ความตื่นเต้นราคาถูก
ตัวติดตาม GPS ที่ใช้ประโยชน์ได้ง่ายเน้นย้ำถึงความเสี่ยงมากมายกับอุปกรณ์ Internet of Things (IoT) รุ่นปัจจุบัน นักวิจัยตั้งข้อสังเกต
Roger Grimes, ผู้ประกาศข่าวกรองด้านการป้องกันที่ขับเคลื่อนด้วยข้อมูลที่บริษัทรักษาความปลอดภัยทางไซเบอร์ KnowBe4เห็นว่าปัญหาใหญ่อย่างหนึ่งของอุปกรณ์ IoT ที่ติดตามใครบางคนคือความเป็นส่วนตัว
"ติดตั้งกล้องเว็บในบ้านของคุณเพื่อความปลอดภัย และคุณไม่สามารถมั่นใจได้ว่าจะไม่ติดตามคุณในช่วงเวลาที่คุณคิดว่าคุณมีความเป็นส่วนตัว" Grimes บอกกับ Lifewire ทางอีเมล “โทรศัพท์มือถือของคุณอาจถูกบุกรุกเพื่อบันทึกการสนทนาของคุณ คุณสามารถเปิดเว็บแคมของแล็ปท็อปเพื่อบันทึกคุณและการประชุมของคุณได้ และอุปกรณ์ติดตาม GPS ในรถยนต์ของคุณสามารถใช้เพื่อค้นหาพนักงานที่เฉพาะเจาะจงและปิดการใช้งานยานพาหนะ”
นักวิจัยตั้งข้อสังเกตว่าในปัจจุบัน เครื่องติดตาม GPS MiCODUS MV720 ยังคงมีความเสี่ยงต่อข้อบกพร่องดังกล่าว เนื่องจากผู้ขายยังไม่ได้ทำการแก้ไข ด้วยเหตุนี้ BitSight ขอแนะนำให้ทุกคนที่ใช้ตัวติดตาม GPS นี้ปิดการใช้งานจนกว่าจะมีการแก้ไข
จากสิ่งนี้ Grimes อธิบายว่าการแพตช์ทำให้เกิดปัญหาอีกประการหนึ่ง เนื่องจากเป็นการยากที่จะติดตั้งโปรแกรมแก้ไขซอฟต์แวร์บนอุปกรณ์ IoT “ถ้าคุณคิดว่ามันยากในการแพตช์ซอฟต์แวร์ปกติ มันก็ยากกว่าการแพตช์อุปกรณ์ IoT ถึงสิบเท่า” ไกรมส์กล่าว
ในโลกอุดมคติ อุปกรณ์ IoT ทั้งหมดจะมีการแก้ไขอัตโนมัติเพื่อติดตั้งการอัปเดตโดยอัตโนมัติ แต่น่าเสียดายที่ Grimes ชี้ให้เห็นว่าอุปกรณ์ IoT ส่วนใหญ่ต้องการให้ผู้คนอัปเดตอุปกรณ์เหล่านี้ด้วยตนเอง กระโดดข้ามห่วงทุกประเภท เช่น การใช้การเชื่อมต่อทางกายภาพที่ไม่สะดวก
"ฉันคาดคะเนว่า 90% ของอุปกรณ์ติดตาม GPS ที่มีช่องโหว่จะยังคงมีความเสี่ยงและใช้ประโยชน์ได้หากและเมื่อผู้ขายตัดสินใจที่จะแก้ไข" Grimes กล่าว “อุปกรณ์ IoT เต็มไปด้วยช่องโหว่ และสิ่งนี้จะไม่เปลี่ยนแปลงไปในอนาคตไม่ว่าจะออกมากี่เรื่องก็ตาม”