Kľúčové poznatky
- Výskumníci objavili kritické zraniteľné miesta v populárnom sledovači GPS používanom v miliónoch vozidiel.
- Chyby zostávajú neopravené, pretože výrobca nedokázal spolupracovať s výskumníkmi a dokonca ani s Agentúrou pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA).
- Toto je len fyzický prejav problému, ktorý je základom celého ekosystému inteligentných zariadení, navrhujú odborníci na bezpečnosť.
Bezpečnostní výskumníci odhalili vážne zraniteľné miesta v populárnom sledovači GPS, ktorý sa používa vo viac ako milióne vozidiel po celom svete.
Podľa výskumníkov s bezpečnostným dodávateľom BitSight, ak by bolo zneužitých šesť zraniteľností v GPS sledovacom vozidle MiCODUS MV720, mohlo by aktérom hrozieb umožniť prístup k funkciám zariadenia a ovládať ich, vrátane sledovania vozidla alebo odpojenia jeho paliva. zásobovanie. Zatiaľ čo bezpečnostní experti vyjadrili znepokojenie nad laxným zabezpečením inteligentných zariadení s podporou internetu celkovo, výskum BitSight je obzvlášť znepokojujúci pre naše súkromie aj bezpečnosť.
„Bohužiaľ, tieto zraniteľnosti nie je ťažké zneužiť,“poznamenal Pedro Umbelino, hlavný bezpečnostný výskumník v BitSight, v tlačovej správe. „Základné chyby v celkovej architektúre systému tohto dodávateľa vyvolávajú závažné otázky o zraniteľnosti iných modelov.“
Diaľkové ovládanie
V správe BitSight uvádza, že sa zameral na MV720, pretože to bol najlacnejší model spoločnosti, ktorý ponúka funkcie ochrany proti krádeži, prerušenia dodávky paliva, diaľkového ovládania a geofencingu. Mobilný sledovač používa SIM kartu na prenos aktualizácií svojho stavu a polohy na podporné servery a je navrhnutý tak, aby prijímal príkazy od svojich legitímnych vlastníkov prostredníctvom SMS.
BitSight tvrdí, že odhalil zraniteľné miesta bez veľkého úsilia. Dokonca vyvinula kód proof of concept (PoC) pre päť nedostatkov, aby demonštrovala, že tieto zraniteľnosti môžu vo voľnej prírode zneužiť zlí herci.
A ovplyvnené môžu byť nielen jednotlivci. Sledovače sú obľúbené u spoločností, ako aj u vládnych, vojenských a orgánov činných v trestnom konaní. To viedlo výskumníkov k tomu, aby sa podelili o svoj výskum s CISA po tom, čo sa mu nepodarilo vyvolať pozitívnu odpoveď od čínskeho výrobcu a dodávateľa automobilovej elektroniky a príslušenstva so sídlom v Shenzhene.
Po tom, ako CISA nezískala odpoveď od MiCODUS, agentúra sa rozhodla pridať chyby do zoznamu spoločných zraniteľností a vystavení (CVE) a pridelila im skóre Common Vulnerability Scoring System (CVSS), pričom pár z nich získalo kritické skóre závažnosti 9.8 z 10.
Využitie týchto zraniteľností by umožnilo mnoho možných scenárov útokov, ktoré by mohli mať „katastrofálne a dokonca život ohrozujúce dôsledky“, poznamenávajú výskumníci v správe.
Lacné vzrušenie
Ľahko zneužiteľný GPS sledovač poukazuje na mnohé riziká súčasnej generácie zariadení internetu vecí (IoT), poznamenávajú výskumníci.
Roger Grimes, povedal Grimes Lifewire e-mailom. „Váš mobilný telefón môže byť kompromitovaný, aby ste mohli nahrávať vaše rozhovory. Webovú kameru prenosného počítača je možné zapnúť, aby zaznamenávala vás a vaše stretnutia. A sledovacie zariadenie GPS vášho auta možno použiť na nájdenie konkrétnych zamestnancov a deaktiváciu vozidiel.“
Výskumníci poznamenávajú, že v súčasnosti zostáva GPS sledovač MiCODUS MV720 zraniteľný voči uvedeným chybám, pretože predajca nesprístupnil opravu. Z tohto dôvodu BitSight odporúča, aby každý, kto používa tento GPS sledovač, ho zakázal, kým nebude k dispozícii oprava.
Na tomto základe Grimes vysvetľuje, že záplatovanie predstavuje ďalší problém, pretože je obzvlášť ťažké inštalovať opravy softvéru na zariadenia IoT. „Ak si myslíte, že je ťažké opraviť bežný softvér, je desaťkrát ťažšie opraviť zariadenia internetu vecí,“povedal Grimes.
V ideálnom svete by všetky zariadenia internetu vecí mali automatické opravy, aby sa automaticky nainštalovali aktualizácie. Nanešťastie však Grimes poukazuje na to, že väčšina zariadení internetu vecí vyžaduje, aby ich ľudia manuálne aktualizovali, pričom preskakovali všetky druhy obručí, ako napríklad používanie nepohodlného fyzického pripojenia.
"Špekuloval by som, že 90 % zraniteľných GPS sledovacích zariadení zostane zraniteľných a zneužiteľných, ak a keď sa ich predajca skutočne rozhodne opraviť," povedal Grimes. "Zariadenia internetu vecí sú plné zraniteľností a toto nebude zmena smerujúca do budúcnosti bez ohľadu na to, koľko z týchto príbehov vyjde.“
