Võtmed kaasavõtmiseks
- Teadlased on avastanud kriitilisi turvaauke populaarses GPS-jälgijas, mida kasutatakse miljonites sõidukites.
- Vead jäävad parandamata, kuna tootjal ei ole õnnestunud teadlaste ega isegi küberturvalisuse ja infrastruktuuri turbeagentuuriga (CISA) suhelda.
- See on kogu nutiseadmete ökosüsteemi aluseks oleva probleemi füüsiline ilming, soovitavad turvaeksperdid.
Turvauurijad on avastanud tõsiseid nõrkusi populaarses GPS-jälgimisseadmes, mida kasutatakse enam kui miljonis sõidukis üle maailma.
Turbemüüja BitSighti teadlaste sõnul võivad MiCODUS MV720 sõiduki GPS-jälgija kuus turvaauku ärakasutamise korral võimaldada ohus osalejatel seadme funktsioonidele juurde pääseda ja neid juhtida, sealhulgas sõiduki jälgimist või kütuse katkestamist. pakkumine. Kuigi turbeeksperdid on väljendanud muret nutikate Interneti-toega seadmete lõdva turvalisuse pärast üldiselt, on BitSighti uuring eriti murettekitav nii meie privaatsuse kui ka turvalisuse pärast.
"Kahjuks ei ole neid turvaauke raske ära kasutada," märkis BitSighti peamine turvateadlane Pedro Umbelino pressiteates. "Põhivead selle müüja üldises süsteemiarhitektuuris tõstatavad olulisi küsimusi teiste mudelite haavatavuse kohta."
Kaugjuhtimispult
Aruandes ütleb BitSight, et see nullis MV720, kuna see oli ettevõtte kõige odavam mudel, mis pakub vargusvastast, kütusekulu väljalülitamist, kaugjuhtimispulti ja geotara võimalusi. Mobiilsidetoega jälgija kasutab SIM-kaarti oma oleku- ja asukohavärskenduste edastamiseks toetavatele serveritele ning on loodud vastu võtma käske selle seaduslikelt omanikelt SMS-i teel.
BitSight väidab, et avastas haavatavused ilma suurema vaevata. See töötas isegi viie vea jaoks välja kontseptsiooni tõendi (PoCs) koodi, et näidata, et halvad näitlejad saavad haavatavusi looduses ära kasutada.
Ja see võib mõjutada mitte ainult üksikisikuid. Jälgimisseadmed on populaarsed nii ettevõtete kui ka valitsuse, sõjaväe ja õiguskaitseorganite seas. See viis teadlased jagama oma uurimistööd CISA-ga pärast seda, kui see ei saanud Hiinas asuv alt Shenzhenis asuv alt autoelektroonika ja -tarvikute tootj alt ja tarnij alt positiivset vastust.
Pärast seda, kui CISA ei saanud ka MiCODUSelt vastust, võttis agentuur enda peale vead lisamise CVE (Common Vulnerability and Exposures) loendisse ja määras neile ühise haavatavuse hindamissüsteemi (CVSS) hinde. paar neist teenisid kriitilise raskusastme hinde 9.8/10.
Nende haavatavuste ärakasutamine võimaldaks paljusid võimalikke rünnakustsenaariume, millel võivad olla "katastroofilised ja isegi eluohtlikud tagajärjed", märgivad teadlased raportis.
Odavad põnevused
Lihts alt kasutatav GPS-jälgija tõstab esile paljud praeguse põlvkonna asjade Interneti (IoT) seadmete riskid, märgivad teadlased.
Roger Grimes, ütles Grimes Lifewire'ile meili teel. Teie mobiiltelefoni võib teie vestluste salvestamiseks ohtu seada. Teie sülearvuti veebikaamera saab teie ja teie koosolekute salvestamiseks sisse lülitada. Ja teie auto GPS-jälgimisseadet saab kasutada konkreetsete töötajate leidmiseks ja sõidukite keelamiseks.”
Teadlased märgivad, et praegu on MiCODUS MV720 GPS-jälgija mainitud vigade suhtes haavatav, kuna müüja pole parandust kättesaadavaks teinud. Sellest tulenev alt soovitab BitSight kõigil seda GPS-jälgijat kasutavatel inimestel see keelata, kuni lahendus on saadaval.
Sellele tuginedes selgitab Grimes, et paikamine kujutab endast veel üht probleemi, kuna tarkvaraparanduste installimine asjade Interneti-seadmetesse on eriti keeruline. "Kui arvate, et tavatarkvara on raske parandada, on IoT-seadmete parandamine kümme korda raskem," ütles Grimes.
Ideaalses maailmas oleks kõigil asjade Interneti-seadmetel automaatne paikamine, et värskendused automaatselt installida. Kuid kahjuks juhib Grimes tähelepanu sellele, et enamik asjade Interneti-seadmeid nõuavad inimestelt nende käsitsi värskendamist, hüppades läbi kõikvõimalike ahelate, näiteks ebamugava füüsilise ühenduse kasutamise.
"Spekuleerin, et 90% haavatavatest GPS-jälgimisseadmetest jäävad haavatavaks ja ärakasutatavaks, kui ja millal müüja otsustab need tegelikult parandada," ütles Grimes. "IoT-seadmed on haavatavusi täis ja see ei juhtu. muutumine tulevikku, olenemata sellest, kui palju neid lugusid välja tuleb.”