Key Takeaways
- Istraživači su otkrili kritične propuste u popularnom GPS trackeru koji se koristi u milionima vozila.
- Bugovi ostaju nepokrpljeni jer proizvođač nije uspio da stupi u kontakt s istraživačima, pa čak ni sa Agencijom za kibernetičku sigurnost i infrastrukturnu sigurnost (CISA).
- Ovo je samo fizička manifestacija problema koji leži u osnovi čitavog ekosistema pametnih uređaja, predlažu stručnjaci za sigurnost.
Istraživači sigurnosti otkrili su ozbiljne propuste u popularnom GPS trackeru koji se koristi u preko milion vozila širom svijeta.
Prema istraživačima s dobavljačem sigurnosnih usluga BitSight, ako se iskoriste, šest ranjivosti u MiCODUS MV720 GPS trackeru za vozila mogle bi omogućiti akterima prijetnje pristup i kontrolu funkcija uređaja, uključujući praćenje vozila ili isključivanje goriva snabdevanje. Dok su stručnjaci za sigurnost izrazili zabrinutost zbog slabe sigurnosti u pametnim uređajima s omogućenim internetom općenito, istraživanje BitSight-a posebno je zabrinjavajuće i za našu privatnost i sigurnost.
“Nažalost, ove ranjivosti nije teško iskoristiti,” napomenuo je Pedro Umbelino, glavni istraživač sigurnosti u BitSight-u, u saopštenju za javnost. “Osnovni nedostaci u cjelokupnoj sistemskoj arhitekturi ovog proizvođača postavljaju značajna pitanja o ranjivosti drugih modela.”
Daljinski upravljač
U izvještaju, BitSight kaže da se usredotočio na MV720 jer je to bio najjeftiniji model kompanije koji nudi mogućnosti zaštite od krađe, isključenja goriva, daljinskog upravljanja i geofencinga. Traker s mobilnom mrežom koristi SIM karticu za prijenos statusa i ažuriranja lokacije na servere koji podržavaju i dizajniran je da prima komande od svojih legitimnih vlasnika putem SMS-a.
BitSight tvrdi da je otkrio ranjivosti bez mnogo truda. Čak je razvio kod za dokaz koncepta (PoCs) za pet nedostataka kako bi pokazao da se ranjivosti mogu iskoristiti u divljini od strane loših aktera.
I nisu samo pojedinci ti koji bi mogli biti pogođeni. Trakeri su popularni kod kompanija, kao i kod vladinih, vojnih i agencija za provođenje zakona. To je navelo istraživače da svoje istraživanje podijele sa CISA-om nakon što nije uspjelo da izazove pozitivan odgovor od proizvođača i dobavljača automobilske elektronike i dodatne opreme iz Shenzhena iz Kine.
Nakon što CISA takođe nije uspela da dobije odgovor od MiCODUS-a, agencija je preuzela na sebe da doda greške na listu uobičajenih ranjivosti i izloženosti (CVE) i dodelila im ocenu Common Vulnerability Scoring System (CVSS), pri čemu je nekoliko njih dobilo ocenu kritične ozbiljnosti od 9.8 od 10.
Iskorišćavanje ovih ranjivosti omogućilo bi mnoge moguće scenarije napada, koji bi mogli imati "katastrofalne, pa čak i opasne po život implikacije," napominju istraživači u izvještaju.
Cheap Thrills
GPS tracker koji se lako može iskoristiti ističe mnoge rizike s trenutnom generacijom uređaja Interneta stvari (IoT), primjećuju istraživači.
Roger Grimes, rekao je Grimes za Lifewire putem e-pošte. “Vaš mobilni telefon može biti kompromitovan za snimanje vaših razgovora. Web kamera vašeg laptopa može se uključiti da snima vas i vaše sastanke. A GPS uređaj za praćenje vašeg automobila može se koristiti za pronalaženje određenih zaposlenika i onemogućavanje vozila.”
Istraživači primjećuju da trenutno, MiCODUS MV720 GPS tracker ostaje ranjiv na spomenute nedostatke jer dobavljač nije učinio dostupnom ispravku. Zbog toga, BitSight preporučuje da svi koji koriste ovaj GPS tracker ga onesposobe dok ispravka ne bude dostupna.
Na osnovu ovoga, Grimes objašnjava da zakrpe predstavljaju još jedan problem, jer je posebno teško instalirati softverske popravke na IoT uređajima. “Ako mislite da je teško zakrpiti običan softver, deset puta je teže zakrpiti IoT uređaje,” rekao je Grimes.
U idealnom svijetu, svi IoT uređaji bi imali automatsko zakrpe kako bi se sva ažuriranja automatski instalirala. Ali nažalost, Grimes ističe da većina IoT uređaja zahtijeva od ljudi da ih ručno ažuriraju, skačući kroz sve vrste obruča, kao što je korištenje nezgodne fizičke veze.
"Spekulirao bih da će 90% ranjivih GPS uređaja za praćenje ostati ranjivo i iskoristivo ako i kada prodavač zaista odluči da ih popravi," rekao je Grimes. "IoT uređaji su puni ranjivosti, a to neće promjena ide u budućnost bez obzira koliko ovih priča izađe.”