Βασικά Takeaways
- Ερευνητές ανακάλυψαν κρίσιμα τρωτά σημεία σε ένα δημοφιλές tracker GPS που χρησιμοποιείται σε εκατομμύρια οχήματα.
- Τα σφάλματα παραμένουν μη επιδιορθωμένα, καθώς ο κατασκευαστής απέτυχε να συνεργαστεί με τους ερευνητές, ακόμη και με την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA).
- Αυτή είναι απλώς μια φυσική εκδήλωση ενός ζητήματος στο οποίο βασίζεται ολόκληρο το οικοσύστημα των έξυπνων συσκευών, προτείνουν ειδικοί σε θέματα ασφάλειας.
Ερευνητές ασφαλείας ανακάλυψαν σοβαρά τρωτά σημεία σε ένα δημοφιλές tracker GPS που χρησιμοποιείται σε περισσότερα από ένα εκατομμύριο οχήματα σε όλο τον κόσμο.
Σύμφωνα με τους ερευνητές με τον προμηθευτή ασφαλείας BitSight, εάν αξιοποιηθούν, τα έξι τρωτά σημεία στον εντοπιστή GPS οχήματος MiCODUS MV720 θα μπορούσαν να επιτρέψουν στους παράγοντες απειλής να έχουν πρόσβαση και να ελέγχουν τις λειτουργίες της συσκευής, συμπεριλαμβανομένης της παρακολούθησης του οχήματος ή της διακοπής του καυσίμου του Προμήθεια. Ενώ οι ειδικοί σε θέματα ασφάλειας έχουν εκφράσει ανησυχίες για τη χαλαρή ασφάλεια σε έξυπνες συσκευές με δυνατότητα σύνδεσης στο διαδίκτυο συνολικά, η έρευνα BitSight είναι ιδιαίτερα ανησυχητική τόσο για το απόρρητο όσο και για την ασφάλειά μας.
«Δυστυχώς, αυτά τα τρωτά σημεία δεν είναι δύσκολο να αξιοποιηθούν», σημείωσε ο Pedro Umbelino, κύριος ερευνητής ασφάλειας στη BitSight, σε ένα δελτίο τύπου. "Βασικά ελαττώματα στη συνολική αρχιτεκτονική συστήματος αυτού του προμηθευτή εγείρουν σημαντικά ερωτήματα σχετικά με την ευπάθεια άλλων μοντέλων."
Τηλεχειριστήριο
Στην αναφορά, η BitSight λέει ότι χρησιμοποίησε το MV720, καθώς ήταν το φθηνότερο μοντέλο της εταιρείας που προσφέρει δυνατότητες αντικλεπτικής προστασίας, διακοπής καυσίμου, τηλεχειριστηρίου και γεωφρακτών. Το πρόγραμμα παρακολούθησης με δυνατότητα κινητής τηλεφωνίας χρησιμοποιεί μια κάρτα SIM για τη μετάδοση ενημερώσεων κατάστασης και τοποθεσίας σε διακομιστές υποστήριξης και έχει σχεδιαστεί για να λαμβάνει εντολές από τους νόμιμους κατόχους του μέσω SMS.
Η BitSight ισχυρίζεται ότι ανακάλυψε τα τρωτά σημεία χωρίς μεγάλη προσπάθεια. Ανέπτυξε ακόμη και κώδικα απόδειξης έννοιας (PoCs) για πέντε από τα ελαττώματα, προκειμένου να αποδείξει ότι τα τρωτά σημεία μπορούν να εκμεταλλευτούν στην άγρια φύση από κακούς ηθοποιούς.
Και δεν είναι μόνο άτομα που θα μπορούσαν να επηρεαστούν. Οι ιχνηλάτες είναι δημοφιλείς τόσο σε εταιρείες όσο και σε κυβερνητικές, στρατιωτικές υπηρεσίες και υπηρεσίες επιβολής του νόμου. Αυτό οδήγησε τους ερευνητές να μοιραστούν την έρευνά τους με την CISA αφού απέτυχε να αποσπάσει θετική απάντηση από τον κατασκευαστή και προμηθευτή ηλεκτρονικών ειδών και αξεσουάρ αυτοκινήτου με έδρα το Shenzhen της Κίνας.
Αφού η CISA απέτυχε επίσης να λάβει απάντηση από τη MiCODUS, η υπηρεσία ανέλαβε να προσθέσει τα σφάλματα στη λίστα Κοινών ευπαθειών και εκθέσεων (CVE) και τους εκχώρησε μια βαθμολογία Common Vulnerability Scoring System (CVSS), με μερικούς από αυτούς να κερδίζουν βαθμολογία κρίσιμης σοβαρότητας 9.8 στα 10.
Η εκμετάλλευση αυτών των τρωτών σημείων θα επέτρεπε πολλά πιθανά σενάρια επίθεσης, τα οποία θα μπορούσαν να έχουν «καταστροφικές και ακόμη και απειλητικές για τη ζωή συνέπειες», σημειώνουν οι ερευνητές στην έκθεση.
Φτηνές συγκινήσεις
Ο εύκολα εκμεταλλεύσιμος ιχνηλάτης GPS υπογραμμίζει πολλούς από τους κινδύνους με την τρέχουσα γενιά συσκευών Internet of Things (IoT), σημειώνουν οι ερευνητές.
Roger Grimes, είπε ο Grimes στο Lifewire μέσω email. «Το κινητό σας μπορεί να παραβιαστεί για να καταγράψετε τις συνομιλίες σας. Η κάμερα web του φορητού υπολογιστή σας μπορεί να ενεργοποιηθεί για να καταγράφει εσάς και τις συναντήσεις σας. Και η συσκευή παρακολούθησης GPS του αυτοκινήτου σας μπορεί να χρησιμοποιηθεί για την εύρεση συγκεκριμένων υπαλλήλων και την απενεργοποίηση οχημάτων."
Οι ερευνητές σημειώνουν ότι επί του παρόντος, ο ιχνηλάτης GPS MiCODUS MV720 παραμένει ευάλωτος στα αναφερόμενα ελαττώματα, καθώς ο πωλητής δεν έχει κάνει διαθέσιμη μια επιδιόρθωση. Λόγω αυτού, η BitSight συνιστά σε οποιονδήποτε χρησιμοποιεί αυτόν τον ιχνηλάτη GPS να τον απενεργοποιήσει μέχρι να γίνει διαθέσιμη μια επιδιόρθωση.
Με βάση αυτό, ο Grimes εξηγεί ότι η ενημέρωση κώδικα παρουσιάζει ένα άλλο πρόβλημα, καθώς είναι ιδιαίτερα δύσκολο να εγκαταστήσετε επιδιορθώσεις λογισμικού σε συσκευές IoT. "Αν νομίζετε ότι είναι δύσκολο να επιδιορθώσετε το κανονικό λογισμικό, είναι δέκα φορές πιο δύσκολο να επιδιορθώσετε συσκευές IoT", είπε ο Grimes.
Σε έναν ιδανικό κόσμο, όλες οι συσκευές IoT θα έχουν αυτόματη ενημέρωση κώδικα για την αυτόματη εγκατάσταση τυχόν ενημερώσεων. Δυστυχώς, όμως, ο Grimes επισημαίνει ότι οι περισσότερες συσκευές IoT απαιτούν από τους ανθρώπους να τις ενημερώνουν χειροκίνητα, περνώντας από κάθε είδους κρίκους, όπως η χρήση μιας άβολης φυσικής σύνδεσης.
"Θα υπέθεσα ότι το 90% των ευάλωτων συσκευών παρακολούθησης GPS θα παραμείνουν ευάλωτες και εκμεταλλεύσιμες εάν και όταν ο πωλητής αποφασίσει πραγματικά να τις διορθώσει", είπε ο Grimes. "Οι συσκευές IoT είναι γεμάτες ευπάθειες, και αυτό δεν θα αλλαγή πηγαίνοντας στο μέλλον ανεξάρτητα από το πόσες από αυτές τις ιστορίες βγαίνουν."
