Forskere viser at populær GPS-sporer er sårbar for hackere

Innholdsfortegnelse:

Forskere viser at populær GPS-sporer er sårbar for hackere
Forskere viser at populær GPS-sporer er sårbar for hackere
Anonim

Key takeaways

  • Forskere har oppdaget kritiske sårbarheter i en populær GPS-tracker som brukes i millioner av kjøretøy.
  • Feilene forblir uopprettet siden produsenten har unnlatt å kommunisere med forskerne og til og med Cybersecurity and Infrastructure Security Agency (CISA).
  • Dette er bare en fysisk manifestasjon av et problem som ligger til grunn for hele smartenhetens økosystem, foreslår sikkerhetseksperter.
Image
Image

Sikkerhetsforskere har avdekket alvorlige sårbarheter i en populær GPS-tracker som brukes i over en million kjøretøy rundt om i verden.

I følge forskerne med sikkerhetsleverandøren BitSight, hvis de utnyttes, kan de seks sårbarhetene i MiCODUS MV720 kjøretøy GPS-sporing gjøre det mulig for trusselaktører å få tilgang til og kontrollere funksjonene til enheten, inkludert sporing av kjøretøyet eller kutte av drivstoffet. forsyning. Mens sikkerhetseksperter har gitt uttrykk for bekymring for den slappe sikkerheten i smarte, internettaktiverte enheter generelt, er BitSight-undersøkelsen spesielt bekymringsfull for både personvernet og sikkerheten.

“Dessverre er disse sårbarhetene ikke vanskelige å utnytte,” bemerket Pedro Umbelino, hovedsikkerhetsforsker ved BitSight, i en pressemelding. "Grunnleggende feil i denne leverandørens generelle systemarkitektur reiser betydelige spørsmål om sårbarheten til andre modeller."

Fjernkontroll

I rapporten sier BitSight at det nådde inn på MV720 siden det var selskapets minst kostbare modell som tilbyr anti-tyveri, drivstoffavskjæring, fjernkontroll og geofencing-funksjoner. Den mobilaktiverte sporingen bruker et SIM-kort for å overføre status- og plasseringsoppdateringer til støtteservere og er designet for å motta kommandoer fra sine legitime eiere via SMS.

BitSight hevder det oppdaget sårbarhetene uten mye innsats. Den utviklet til og med proof of concept-kode (PoCs) for fem av feilene for å demonstrere at sårbarhetene kan utnyttes i naturen av dårlige skuespillere.

Image
Image

Og det er ikke bare enkeltpersoner som kan bli berørt. Trackerne er populære blant selskaper så vel som hos myndigheter, militære og rettshåndhevelsesbyråer. Dette førte til at forskerne delte forskningen sin med CISA etter at den ikke klarte å få positiv respons fra den Shenzhen, Kina-baserte produsenten og leverandøren av bilelektronikk og tilbehør.

Etter at CISA heller ikke klarte å få svar fra MiCODUS, tok byrået på seg å legge til feilene på listen Common Vulnerabilities and Exposures (CVE) og tildelte dem en Common Vulnerability Scoring System (CVSS)-poengsum, med et par av dem som oppnår en kritisk alvorlighetsgrad på 9.8 av 10.

Utnyttelsen av disse sårbarhetene vil muliggjøre mange mulige angrepsscenarier, som kan ha «katastrofe og til og med livstruende implikasjoner», bemerker forskerne i rapporten.

Cheap Thrills

Den lett utnyttbare GPS-sporeren fremhever mange av risikoene med den nåværende generasjonen Internet of Things (IoT)-enheter, bemerker forskerne.

Roger Grimes, fort alte Grimes til Lifewire via e-post. Mobiltelefonen din kan bli kompromittert for å ta opp samtalene dine. Den bærbare datamaskinens webkamera kan slås på for å ta opp deg og møtene dine. Og bilens GPS-sporingsenhet kan brukes til å finne bestemte ansatte og deaktivere kjøretøy.»

Forskerne bemerker at for øyeblikket forblir MiCODUS MV720 GPS-tracker sårbar for de nevnte feilene siden leverandøren ikke har gjort en løsning tilgjengelig. På grunn av dette anbefaler BitSight at alle som bruker denne GPS-sporeren deaktiverer den inntil en løsning er gjort tilgjengelig.

Med utgangspunkt i dette, forklarer Grimes at patching byr på et annet problem, siden det er spesielt vanskelig å installere programvarefikser på IoT-enheter. "Hvis du synes det er vanskelig å lappe vanlig programvare, er det ti ganger så vanskelig å lappe IoT-enheter," sa Grimes.

I en ideell verden ville alle IoT-enheter ha auto-patching for å installere eventuelle oppdateringer automatisk. Men dessverre påpeker Grimes at de fleste IoT-enheter krever at folk oppdaterer dem manuelt, og hopper gjennom alle slags bøyler som å bruke en upraktisk fysisk tilkobling.

"Jeg vil spekulere i at 90 % av sårbare GPS-sporingsenheter vil forbli sårbare og utnyttelige hvis og når leverandøren faktisk bestemmer seg for å fikse dem," sa Grimes. "IoT-enheter er fulle av sårbarheter, og dette vil ikke endre seg inn i fremtiden uansett hvor mange av disse historiene som kommer ut.»

Anbefalt:

Streaming er endelig mer populær enn kabel

Streaming er endelig mer populær enn kabel

Antall personer som strømmer innhold har overgått de som ser på kabel, men sistnevnte vil sannsynligvis eksistere en stund til

Forskere ønsker å gjøre skyskrapere til gigantiske batterier

Forskere ønsker å gjøre skyskrapere til gigantiske batterier

Forskere har foreslått å bruke heiser eller heiser i høye bygninger for å generere energi. Forskere er imidlertid ikke sikre på om dette kan gjøres med prinsipper i bygningen

Enda en populær Google Play-app funnet som vert for skadelig programvare

Enda en populær Google Play-app funnet som vert for skadelig programvare

Popular Google Play-appen «Color Message» har blitt fjernet fra Play-butikken etter at det ble funnet å inneholde Joker malware, men den ble lastet ned mer enn 500 000 ganger før fjerning

Hvorfor AR kan være mer populær enn smarttelefoner

Hvorfor AR kan være mer populær enn smarttelefoner

Augmented reality vokser i popularitet, og noen eksperter tror det er den neste store tingen innen teknologi på grunn av dens evne til å endre måten vi gjør alt på til det bedre

Er iPad fortsatt populær?

Er iPad fortsatt populær?

Det er mye undergang i media i disse dager angående iPad, men har iPad-ens popularitet virkelig avtatt eller forventer vi for mye?