A legfontosabb elvitelek
- A kutatók kritikus sérülékenységeket fedeztek fel egy népszerű GPS-követőben, amelyet több millió járműben használnak.
- A hibák továbbra is kijavítatlanok, mivel a gyártónak nem sikerült kapcsolatba lépnie a kutatókkal és még a Kiberbiztonsági és Infrastruktúrabiztonsági Ügynökséggel (CISA) sem.
- Ez csak egy fizikai megnyilvánulása a teljes okoseszköz-ökoszisztéma mögött meghúzódó probléma – javasolják biztonsági szakértők.
Biztonsági kutatók súlyos sebezhetőségeket tártak fel egy népszerű GPS-követőben, amelyet több mint egymillió járműben használnak szerte a világon.
A BitSight biztonsági beszállító kutatói szerint, ha kihasználják, a MiCODUS MV720 jármű GPS-követő hat sebezhetősége lehetővé teheti a fenyegetés szereplői számára, hogy hozzáférjenek és ellenőrizzék az eszköz funkcióit, beleértve a jármű nyomon követését vagy az üzemanyag leállítását. kínálat. Míg a biztonsági szakértők aggodalmukat fejezték ki az intelligens, internet-kompatibilis eszközök összességében tapasztalható laza biztonsága miatt, a BitSight kutatása különösen aggasztó a magánéletünk és a biztonságunk szempontjából.
„Sajnos ezeket a sebezhetőségeket nem nehéz kihasználni” – jegyezte meg Pedro Umbelino, a BitSight vezető biztonsági kutatója egy sajtóközleményben. "A gyártó általános rendszerarchitektúrájának alapvető hibái jelentős kérdéseket vetnek fel más modellek sebezhetőségével kapcsolatban."
Távirányító
A jelentésben a BitSight azt állítja, hogy nullázta az MV720-at, mivel ez volt a cég legolcsóbb modellje, amely lopásgátlót, üzemanyag-lezárást, távirányítót és geokerítési képességeket kínál. A mobiltelefon-kompatibilis nyomkövető SIM-kártya segítségével továbbítja állapot- és helyfrissítéseit a támogató szervereknek, és úgy van kialakítva, hogy SMS-ben fogadja a parancsokat a törvényes tulajdonosoktól.
A BitSight azt állítja, hogy különösebb erőfeszítés nélkül fedezte fel a sebezhetőséget. Még öt hibára is kifejlesztett proof of concept (PoCs) kódot annak bizonyítására, hogy a sebezhetőséget a rossz szereplők a természetben is kihasználhatják.
És ez nem csak egyéneket érinthet. A nyomkövetők népszerűek a vállalatok, valamint a kormány, a katonai és a bűnüldöző szervek körében. Ez arra késztette a kutatókat, hogy megosszák kutatásaikat a CISA-val, miután az nem kapott pozitív választ a kínai autóelektronikai és -kiegészítőket gyártó és szállító cégtől.
Miután a CISA sem kapott választ a MiCODUS-tól, az ügynökség magára váll alta, hogy felveszi a hibákat a Common Vulnerabilities and Exposures (CVE) listára, és hozzárendelte a Common Vulnerability Scoring System (CVSS) pontszámot, néhányan közülük 9-es kritikus súlyossági pontszámot értek el.8/10.
E sebezhetőségek kihasználása számos lehetséges támadási forgatókönyvet tesz lehetővé, amelyek „katasztrofális, sőt életveszélyes következményekkel járhatnak” – jegyzik meg a kutatók a jelentésben.
Olcsó izgalmak
A könnyen kihasználható GPS-követő rávilágít a dolgok internetes (IoT) eszközök jelenlegi generációjának számos kockázatára, jegyzik meg a kutatók.
Roger Grimes, mondta Grimes a Lifewire-nek e-mailben. „A mobiltelefonja veszélybe kerülhet, hogy rögzítse a beszélgetéseit. A laptop webkamerája bekapcsolható, hogy rögzítse Önt és megbeszéléseit. Az autó GPS-nyomkövető eszköze pedig konkrét alkalmazottak megkeresésére és járművek letiltására használható.”
A kutatók megjegyzik, hogy jelenleg a MiCODUS MV720 GPS nyomkövető továbbra is sebezhető az említett hibákkal szemben, mivel az eladó nem tett elérhetővé a javítást. Emiatt a BitSight azt javasolja, hogy bárki, aki ezt a GPS-követőt használja, tiltsa le, amíg a javítás elérhetővé nem válik.
Erre építve Grimes kifejti, hogy a javítás egy másik problémát jelent, mivel különösen nehéz szoftverjavításokat telepíteni az IoT-eszközökre. „Ha úgy gondolja, hogy nehéz javítani a szokásos szoftvereket, tízszer olyan nehéz az IoT-eszközöket javítani” – mondta Grimes.
Egy ideális világban minden IoT-eszköz rendelkezik automatikus javítással a frissítések automatikus telepítéséhez. Grimes azonban sajnálatos módon rámutat, hogy a legtöbb IoT-eszköznek manuálisan kell frissítenie azokat, és mindenféle korláton át kell ugrania, például egy kényelmetlen fizikai kapcsolaton keresztül.
"Azt feltételezném, hogy a sebezhető GPS-nyomkövető eszközök 90%-a sebezhető és kihasználható marad, ha és amikor a gyártó valóban úgy dönt, hogy megjavítja őket" - mondta Grimes. "Az IoT-eszközök tele vannak sebezhető pontokkal, és ez nem fog a jövőbeli változás, függetlenül attól, hogy hány ilyen történet jelenik meg.”
