Ключевые выводы
- Исследователи обнаружили критические уязвимости в популярном GPS-трекере, используемом в миллионах автомобилей.
- Ошибки остаются неисправленными, поскольку производитель не смог наладить взаимодействие с исследователями и даже с Агентством кибербезопасности и безопасности инфраструктуры (CISA).
- Это просто физическое проявление проблемы, лежащей в основе всей экосистемы смарт-устройств, предполагают эксперты по безопасности.
Исследователи безопасности обнаружили серьезные уязвимости в популярном GPS-трекере, который используется более чем в миллионе автомобилей по всему миру.
По мнению исследователей компании BitSight, поставщика систем безопасности, в случае эксплуатации шести уязвимостей в автомобильном GPS-трекере MiCODUS MV720 злоумышленники могут получить доступ к функциям устройства и управлять ими, включая отслеживание транспортного средства или отключение топлива. поставлять. В то время как эксперты по безопасности выражают обеспокоенность по поводу слабой безопасности интеллектуальных устройств с доступом в Интернет в целом, исследование BitSight особенно беспокоит как нашу конфиденциальность, так и нашу безопасность.
«К сожалению, эти уязвимости несложно использовать», - отметил в пресс-релизе Педро Умбелино, главный исследователь BitSight. «Основные недостатки в общей архитектуре системы этого поставщика вызывают серьезные вопросы об уязвимости других моделей».
Пульт дистанционного управления
В отчете BitSight говорится, что они сосредоточились на MV720, поскольку это была самая дешевая модель компании, которая предлагает защиту от кражи, отключение топлива, дистанционное управление и возможности геозоны. Трекер с поддержкой сотовой связи использует SIM-карту для передачи обновлений своего статуса и местоположения на поддерживающие серверы и предназначен для получения команд от своих законных владельцев через SMS.
BitSight утверждает, что обнаружил уязвимости без особых усилий. Он даже разработал код проверки концепции (PoCs) для пяти уязвимостей, чтобы продемонстрировать, что уязвимости могут быть использованы в дикой природе злоумышленниками.
И это может коснуться не только отдельных лиц. Трекеры популярны среди компаний, а также в государственных, военных и правоохранительных органах. Это побудило исследователей поделиться своим исследованием с CISA после того, как оно не получило положительного ответа от Шэньчжэньского китайского производителя и поставщика автомобильной электроники и аксессуаров.
После того, как CISA также не смогла получить ответ от MiCODUS, агентство взяло на себя задачу добавить ошибки в список общих уязвимостей и рисков (CVE) и присвоить им оценку общей системы оценки уязвимостей (CVSS), пара из них получила критическую оценку серьезности 9.8 из 10.
Эксплуатация этих уязвимостей позволит реализовать множество возможных сценариев атак, которые могут иметь «катастрофические и даже опасные для жизни последствия», отмечают исследователи в отчете.
Дешевые острые ощущения
Легко эксплуатируемый GPS-трекер подчеркивает многие риски, связанные с нынешним поколением устройств Интернета вещей (IoT), отмечают исследователи.
Роджер Граймс, - сказала Граймс Lifewire по электронной почте. «Ваш мобильный телефон может быть скомпрометирован для записи ваших разговоров. Веб-камера вашего ноутбука может быть включена для записи вас и ваших встреч. А устройство GPS-слежения вашего автомобиля можно использовать для поиска конкретных сотрудников и отключения транспортных средств».
Исследователи отмечают, что в настоящее время GPS-трекер MiCODUS MV720 остается уязвимым для упомянутых недостатков, поскольку производитель не выпустил исправления. В связи с этим BitSight рекомендует всем, кто использует этот GPS-трекер, отключить его до тех пор, пока не будет доступно исправление.
Опираясь на это, Граймс объясняет, что исправление представляет собой еще одну проблему, поскольку особенно сложно установить исправления программного обеспечения на устройства IoT. «Если вы думаете, что патчить обычное программное обеспечение сложно, то патчить устройства IoT в десять раз сложнее», - сказал Граймс.
В идеальном мире все устройства IoT должны иметь автоматическое исправление для автоматической установки любых обновлений. Но, к сожалению, Граймс указывает, что большинство IoT-устройств требуют, чтобы люди вручную обновляли их, преодолевая всевозможные препятствия, такие как использование неудобного физического соединения.
«Я бы предположил, что 90% уязвимых устройств GPS-слежения останутся уязвимыми и пригодными для использования, если и когда производитель действительно решит их исправить», - сказал Граймс. «Устройства IoT полны уязвимостей, и это не будет меняться в будущем, независимо от того, сколько таких историй выйдет».
