Ключови изводи
- Изследователи са открили критични уязвимости в популярен GPS тракер, използван в милиони превозни средства.
- Проблемите остават неотстранени, тъй като производителят не успя да се свърже с изследователите и дори с Агенцията за киберсигурност и сигурност на инфраструктурата (CISA).
- Това е само физическо проявление на проблем, който стои в основата на цялата екосистема на смарт устройства, предполагат експерти по сигурността.
Изследователи по сигурността са открили сериозни уязвимости в популярен GPS тракер, който се използва в над един милион превозни средства по света.
Според изследователите от доставчика на сигурност BitSight, ако бъдат експлоатирани, шестте уязвимости в GPS тракера за превозни средства MiCODUS MV720 могат да позволят на участниците в заплахата да имат достъп и да контролират функциите на устройството, включително проследяване на превозното средство или спиране на горивото му доставка. Въпреки че експертите по сигурността изразиха загриженост относно слабата сигурност на интелигентните, поддържащи интернет устройства като цяло, изследването на BitSight е особено тревожно както за нашата поверителност, така и за безопасността.
„За съжаление, тези уязвимости не са трудни за използване,“отбеляза Педро Умбелино, главен изследовател по сигурността в BitSight, в съобщение за пресата. „Основните недостатъци в цялостната системна архитектура на този доставчик повдигат значителни въпроси относно уязвимостта на други модели.“
Дистанционно управление
В доклада BitSight казва, че се е насочил към MV720, тъй като това е най-евтиният модел на компанията, който предлага възможности против кражба, спиране на горивото, дистанционно управление и възможности за геозониране. Клетъчният тракер използва SIM карта, за да предава своите актуализации за статус и местоположение на поддържащи сървъри и е проектиран да получава команди от законните си собственици чрез SMS.
BitSight твърди, че е открил уязвимостите без много усилия. Той дори разработи код за доказателство на концепцията (PoCs) за пет от недостатъците, за да демонстрира, че уязвимостите могат да бъдат експлоатирани в природата от лоши актьори.
И не само хората могат да бъдат засегнати. Тракерите са популярни сред компаниите, както и сред правителствените, военните и правоприлагащите агенции. Това накара изследователите да споделят своите изследвания с CISA, след като то не успя да предизвика положителен отговор от базирания в Шенжен, Китай производител и доставчик на автомобилна електроника и аксесоари.
След като CISA също не успя да получи отговор от MiCODUS, агенцията се зае да добави бъговете към списъка с често срещани уязвимости и експозиции (CVE) и им присвои резултат от системата за оценяване на обща уязвимост (CVSS), като няколко от тях печелят оценка за критична тежест 9.8 от 10.
Експлоатацията на тези уязвимости би позволила много възможни сценарии на атака, които биха могли да имат „катастрофални и дори животозастрашаващи последици“, отбелязват изследователите в доклада.
Евтини тръпки
Лесно използваемият GPS тракер подчертава много от рисковете при текущото поколение устройства за Интернет на нещата (IoT), отбелязват изследователите.
Роджър Граймс, каза Граймс на Lifewire по имейл. „Мобилният ви телефон може да бъде компрометиран, за да записва вашите разговори. Уеб камерата на вашия лаптоп може да бъде включена, за да записва вас и вашите срещи. И GPS устройството за проследяване на вашия автомобил може да се използва за намиране на конкретни служители и за деактивиране на превозни средства.“
Изследователите отбелязват, че в момента GPS тракерът MiCODUS MV720 остава уязвим към споменатите недостатъци, тъй като доставчикът не е предоставил корекция. Поради това BitSight препоръчва на всеки, който използва този GPS тракер, да го деактивира, докато не бъде налична корекция.
Въз основа на това, Граймс обяснява, че корекцията представлява друг проблем, тъй като е особено трудно да се инсталират софтуерни корекции на IoT устройства. „Ако смятате, че е трудно да се закърпи обикновен софтуер, то е десет пъти по-трудно да се закърпи IoT устройства,“каза Граймс.
В един идеален свят всички IoT устройства биха имали автоматичен пач, за да инсталират автоматично всякакви актуализации. Но за съжаление Граймс посочва, че повечето IoT устройства изискват хората да ги актуализират ръчно, прескачайки през всякакви обръчи, като например използване на неудобна физическа връзка.
"Предполагам, че 90% от уязвимите GPS устройства за проследяване ще останат уязвими и експлоатируеми, ако и когато доставчикът действително реши да ги поправи", каза Граймс. "IoT устройствата са пълни с уязвимости и това няма да промяна в бъдещето, независимо колко от тези истории излязат.”
