Recomandări cheie
- Cercetătorii au descoperit vulnerabilități critice într-un popular tracker GPS folosit în milioane de vehicule.
- Erorile rămân necorectate, deoarece producătorul nu a reușit să se angajeze cu cercetătorii și chiar cu Agenția de securitate cibernetică și a infrastructurii (CISA).
- Aceasta este doar o manifestare fizică a unei probleme care stă la baza întregului ecosistem de dispozitive inteligente, sugerează experții în securitate.
Cercetătorii în domeniul securității au descoperit vulnerabilități grave într-un popular tracker GPS care este folosit în peste un milion de vehicule din întreaga lume.
Potrivit cercetătorilor de la furnizorul de securitate BitSight, dacă sunt exploatate, cele șase vulnerabilități din trackerul GPS pentru vehicule MiCODUS MV720 ar putea permite actorilor amenințărilor să acceseze și să controleze funcțiile dispozitivului, inclusiv urmărirea vehiculului sau oprirea combustibilului acestuia. livra. În timp ce experții în securitate și-au exprimat îngrijorarea cu privire la securitatea laxă a dispozitivelor inteligente, cu acces la internet, în general, cercetarea BitSight este deosebit de îngrijorătoare atât pentru confidențialitate, cât și pentru siguranța noastră.
„Din păcate, aceste vulnerabilități nu sunt greu de exploatat”, a menționat Pedro Umbelino, cercetător principal de securitate la BitSight, într-un comunicat de presă. „Defectele de bază ale arhitecturii generale de sistem a acestui furnizor ridică întrebări semnificative cu privire la vulnerabilitatea altor modele.”
Telecomandă
În raport, BitSight spune că s-a concentrat pe MV720, deoarece era cel mai puțin costisitor model al companiei, care oferă capabilități antifurt, oprire a combustibilului, control de la distanță și geofencing. Tracker-ul compatibil mobil folosește o cartelă SIM pentru a transmite actualizările de stare și locație către serverele compatibile și este conceput pentru a primi comenzi de la proprietarii legitimi prin SMS.
BitSight susține că a descoperit vulnerabilitățile fără prea mult efort. A dezvoltat chiar un cod de probă de concept (PoCs) pentru cinci dintre defecte, pentru a demonstra că vulnerabilitățile pot fi exploatate în sălbăticie de actori răi.
Și nu doar indivizii ar putea fi afectați. Trackerele sunt populare atât în rândul companiilor, cât și în rândul agențiilor guvernamentale, militare și de aplicare a legii. Acest lucru i-a determinat pe cercetători să-și împărtășească cercetările cu CISA, după ce nu a reușit să obțină un răspuns pozitiv din partea producătorului și furnizorului de electronice și accesorii pentru automobile din Shenzhen, China.
După ce nici CISA nu a reușit să obțină un răspuns de la MiCODUS, agenția s-a decis să adauge erorile la lista de vulnerabilități și expuneri comune (CVE) și le-a atribuit un scor Common Vulnerability Scoring System (CVSS), cu câțiva dintre ei obținând un scor de severitate critic de 9.8 din 10.
Exploatarea acestor vulnerabilități ar permite multe scenarii posibile de atac, care ar putea avea „implicații dezastruoase și chiar amenințătoare de viață”, notează cercetătorii din raport.
Triguri ieftine
Trackerul GPS ușor de exploatat evidențiază multe dintre riscurile cu generația actuală de dispozitive Internet of Things (IoT), notează cercetătorii.
Roger Grimes, a spus Grimes pentru Lifewire prin e-mail. „Telefonul tău mobil poate fi compromis pentru a-ți înregistra conversațiile. Camera web a laptopului poate fi activată pentru a vă înregistra pe dvs. și întâlnirile dvs. Iar dispozitivul de urmărire GPS al mașinii dvs. poate fi folosit pentru a găsi anumiți angajați și pentru a dezactiva vehicule.”
Cercetătorii observă că în prezent, tracker-ul GPS MiCODUS MV720 rămâne vulnerabil la defectele menționate, deoarece furnizorul nu a pus la dispoziție o remediere. Din acest motiv, BitSight recomandă oricui care utilizează acest tracker GPS să-l dezactiveze până când o remediere este disponibilă.
Bazându-se pe acest lucru, Grimes explică că corecțiile prezintă o altă problemă, deoarece este deosebit de dificil să instalezi remedieri software pe dispozitivele IoT. „Dacă credeți că este greu să corecționați software-ul obișnuit, este de zece ori mai greu să corectați dispozitivele IoT”, a spus Grimes.
Într-o lume ideală, toate dispozitivele IoT ar avea corecție automată pentru a instala automat orice actualizări. Dar, din păcate, Grimes subliniază că majoritatea dispozitivelor IoT necesită ca oamenii să le actualizeze manual, trecând prin tot felul de cercuri, cum ar fi utilizarea unei conexiuni fizice incomode.
„Aș specula că 90% dintre dispozitivele de urmărire GPS vulnerabile vor rămâne vulnerabile și exploatabile dacă și atunci când vânzătorul decide să le repare”, a spus Grimes. „Dispozitivele IoT sunt pline de vulnerabilități, iar acest lucru nu va schimbare în viitor, indiferent câte dintre aceste povești apar.”
