Istraživači pokazuju da je popularni GPS tragač ranjiv na hakere

Sadržaj:

Istraživači pokazuju da je popularni GPS tragač ranjiv na hakere
Istraživači pokazuju da je popularni GPS tragač ranjiv na hakere
Anonim

Key Takeaways

  • Istraživači su otkrili kritične propuste u popularnom GPS trackeru koji se koristi u milionima vozila.
  • Bugovi ostaju nepokrpljeni jer proizvođač nije uspio da stupi u kontakt s istraživačima, pa čak ni sa Agencijom za kibernetičku sigurnost i infrastrukturnu sigurnost (CISA).
  • Ovo je samo fizička manifestacija problema koji leži u osnovi čitavog ekosistema pametnih uređaja, predlažu stručnjaci za sigurnost.
Image
Image

Istraživači sigurnosti otkrili su ozbiljne propuste u popularnom GPS trackeru koji se koristi u preko milion vozila širom svijeta.

Prema istraživačima s dobavljačem sigurnosnih usluga BitSight, ako se iskoriste, šest ranjivosti u MiCODUS MV720 GPS trackeru za vozila mogle bi omogućiti akterima prijetnje pristup i kontrolu funkcija uređaja, uključujući praćenje vozila ili isključivanje goriva snabdevanje. Dok su stručnjaci za sigurnost izrazili zabrinutost zbog slabe sigurnosti u pametnim uređajima s omogućenim internetom općenito, istraživanje BitSight-a posebno je zabrinjavajuće i za našu privatnost i sigurnost.

“Nažalost, ove ranjivosti nije teško iskoristiti,” napomenuo je Pedro Umbelino, glavni istraživač sigurnosti u BitSight-u, u saopštenju za javnost. “Osnovni nedostaci u cjelokupnoj sistemskoj arhitekturi ovog proizvođača postavljaju značajna pitanja o ranjivosti drugih modela.”

Daljinski upravljač

U izvještaju, BitSight kaže da se usredotočio na MV720 jer je to bio najjeftiniji model kompanije koji nudi mogućnosti zaštite od krađe, isključenja goriva, daljinskog upravljanja i geofencinga. Traker s mobilnom mrežom koristi SIM karticu za prijenos statusa i ažuriranja lokacije na servere koji podržavaju i dizajniran je da prima komande od svojih legitimnih vlasnika putem SMS-a.

BitSight tvrdi da je otkrio ranjivosti bez mnogo truda. Čak je razvio kod za dokaz koncepta (PoCs) za pet nedostataka kako bi pokazao da se ranjivosti mogu iskoristiti u divljini od strane loših aktera.

Image
Image

I nisu samo pojedinci ti koji bi mogli biti pogođeni. Trakeri su popularni kod kompanija, kao i kod vladinih, vojnih i agencija za provođenje zakona. To je navelo istraživače da svoje istraživanje podijele sa CISA-om nakon što nije uspjelo da izazove pozitivan odgovor od proizvođača i dobavljača automobilske elektronike i dodatne opreme iz Shenzhena iz Kine.

Nakon što CISA takođe nije uspela da dobije odgovor od MiCODUS-a, agencija je preuzela na sebe da doda greške na listu uobičajenih ranjivosti i izloženosti (CVE) i dodelila im ocenu Common Vulnerability Scoring System (CVSS), pri čemu je nekoliko njih dobilo ocenu kritične ozbiljnosti od 9.8 od 10.

Iskorišćavanje ovih ranjivosti omogućilo bi mnoge moguće scenarije napada, koji bi mogli imati "katastrofalne, pa čak i opasne po život implikacije," napominju istraživači u izvještaju.

Cheap Thrills

GPS tracker koji se lako može iskoristiti ističe mnoge rizike s trenutnom generacijom uređaja Interneta stvari (IoT), primjećuju istraživači.

Roger Grimes, rekao je Grimes za Lifewire putem e-pošte. “Vaš mobilni telefon može biti kompromitovan za snimanje vaših razgovora. Web kamera vašeg laptopa može se uključiti da snima vas i vaše sastanke. A GPS uređaj za praćenje vašeg automobila može se koristiti za pronalaženje određenih zaposlenika i onemogućavanje vozila.”

Istraživači primjećuju da trenutno, MiCODUS MV720 GPS tracker ostaje ranjiv na spomenute nedostatke jer dobavljač nije učinio dostupnom ispravku. Zbog toga, BitSight preporučuje da svi koji koriste ovaj GPS tracker ga onesposobe dok ispravka ne bude dostupna.

Na osnovu ovoga, Grimes objašnjava da zakrpe predstavljaju još jedan problem, jer je posebno teško instalirati softverske popravke na IoT uređajima. “Ako mislite da je teško zakrpiti običan softver, deset puta je teže zakrpiti IoT uređaje,” rekao je Grimes.

U idealnom svijetu, svi IoT uređaji bi imali automatsko zakrpe kako bi se sva ažuriranja automatski instalirala. Ali nažalost, Grimes ističe da većina IoT uređaja zahtijeva od ljudi da ih ručno ažuriraju, skačući kroz sve vrste obruča, kao što je korištenje nezgodne fizičke veze.

"Spekulirao bih da će 90% ranjivih GPS uređaja za praćenje ostati ranjivo i iskoristivo ako i kada prodavač zaista odluči da ih popravi," rekao je Grimes. "IoT uređaji su puni ranjivosti, a to neće promjena ide u budućnost bez obzira koliko ovih priča izađe.”

Preporučuje se:

Mogu li automobili raditi na čistom vodiku? Nevjerovatni novi njemački vozovi pokazuju obećanje

Mogu li automobili raditi na čistom vodiku? Nevjerovatni novi njemački vozovi pokazuju obećanje

Automobili na vodonik još uvijek nisu zamijenili vozila na plin, i to s dobrim razlogom. Ali šta je sa vozovima? Da, to bi moglo upaliti

Procurele e-poruke pokazuju da će biti Apple i Microsoft App Store tim

Procurele e-poruke pokazuju da će biti Apple i Microsoft App Store tim

Microsoft je skoro izbacio niz AAA Xbox igara upravo u Apple-ovoj App Store, zahvaljujući kompanijinoj usluzi za igre u oblaku

Samsung i LG pokazuju nove fleksibilne ekrane

Samsung i LG pokazuju nove fleksibilne ekrane

Samsung i LG su otkrili svoje nove fleksibilne ekrane na Global Tech Korea 2021 događaju, pri čemu je prvi pokazao rastegljivi ekran

Izvještaji pokazuju 26 miliona ukradenih lozinki između 2018. i 2020

Izvještaji pokazuju 26 miliona ukradenih lozinki između 2018. i 2020

Otkrivena je nova baza podataka sa 26 miliona lozinki ukradenih sa preko 3 miliona računara koristeći prilagođeni malver koji tek treba da bude identifikovan

Kako Apple uređaji pokazuju HDR svjetlije od čisto bijele

Kako Apple uređaji pokazuju HDR svjetlije od čisto bijele

Appleov EDR, prošireni dinamički opseg, omogućava ekranima koji nisu HRD da prikazuju slike poput HDR-a. Na kraju bi mogao postati standard čak i za ekrane koji nisu Apple