Ključni podaci za van
- Istraživači su otkrili kritične ranjivosti u popularnom GPS uređaju za praćenje koji se koristi u milijunima vozila.
- Bugovi ostaju nezakrpani budući da proizvođač nije uspio stupiti u kontakt s istraživačima, pa čak ni s Agencijom za kibernetičku sigurnost i sigurnost infrastrukture (CISA).
- Ovo je samo fizička manifestacija problema u pozadini cijelog ekosustava pametnih uređaja, sugeriraju sigurnosni stručnjaci.
Istraživači sigurnosti otkrili su ozbiljne ranjivosti u popularnom GPS uređaju za praćenje koji se koristi u više od milijun vozila diljem svijeta.
Prema istraživačima iz sigurnosnog dobavljača BitSight, ako se iskoriste, šest ranjivosti u GPS trackeru vozila MiCODUS MV720 moglo bi akterima prijetnji omogućiti pristup i kontrolu funkcija uređaja, uključujući praćenje vozila ili isključivanje goriva Opskrba. Iako su stručnjaci za sigurnost izrazili zabrinutost zbog slabe sigurnosti pametnih uređaja s omogućenim internetom, istraživanje BitSighta posebno je zabrinjavajuće za našu privatnost i sigurnost.
"Nažalost, ove ranjivosti nije teško iskoristiti," istaknuo je Pedro Umbelino, glavni istraživač sigurnosti u BitSightu, u priopćenju za javnost. "Osnovni nedostaci u cjelokupnoj arhitekturi sustava ovog dobavljača pokreću značajna pitanja o ranjivosti drugih modela."
Daljinski upravljač
U izvješću BitSight kaže da se fokusirao na MV720 jer je to bio najjeftiniji model tvrtke koji nudi protuprovalnu zaštitu, prekid goriva, daljinsko upravljanje i mogućnosti geofencinga. Tragač s omogućenom mobilnom mrežom koristi SIM karticu za prijenos statusa i ažuriranja lokacije na prateće poslužitelje i dizajniran je za primanje naredbi od svojih legitimnih vlasnika putem SMS-a.
BitSight tvrdi da je otkrio ranjivosti bez puno truda. Čak je razvio kod za dokaz koncepta (PoCs) za pet nedostataka kako bi pokazao da loši akteri mogu iskoristiti ranjivosti u divljini.
I nisu samo pojedinci ti koji bi mogli biti pogođeni. Tragači su popularni među tvrtkama, kao i među vladinim, vojnim i agencijama za provođenje zakona. To je navelo istraživače da svoje istraživanje podijele s CISA-om nakon što ono nije uspjelo izvući pozitivan odgovor od kineskog proizvođača i dobavljača automobilske elektronike i dodataka u Shenzhenu.
Nakon što CISA također nije uspjela dobiti odgovor od MiCODUS-a, agencija je preuzela na sebe da doda bugove na popis uobičajenih ranjivosti i izloženosti (CVE) i dodijelila im ocjenu Common Vulnerability Scoring System (CVSS), s nekoliko njih koji su zaradili ocjenu kritične ozbiljnosti 9.8 od 10.
Iskorištavanje ovih ranjivosti omogućilo bi mnoge moguće scenarije napada, koji bi mogli imati “katastrofalne, pa čak i po život opasne implikacije,” napominju istraživači u izvješću.
Jeftina uzbuđenja
GPS uređaj za praćenje koji se lako može iskoristiti naglašava mnoge rizike s trenutnom generacijom uređaja Interneta stvari (IoT), napominju istraživači.
Roger Grimes, rekao je Grimes Lifewireu putem e-pošte. “Vaš mobitel može biti ugrožen kako bi snimao vaše razgovore. Web kamera vašeg prijenosnog računala može se uključiti da snima vas i vaše sastanke. A GPS uređaj za praćenje vašeg automobila može se koristiti za pronalaženje određenih zaposlenika i onesposobljavanje vozila.”
Istraživači primjećuju da trenutno MiCODUS MV720 GPS tracker ostaje ranjiv na spomenute nedostatke budući da dobavljač nije učinio dostupnim popravak. Zbog toga BitSight preporuča svima koji koriste ovaj GPS tracker da ga onesposobe dok popravak ne bude dostupan.
Nadovezujući se na ovo, Grimes objašnjava da krpanje predstavlja još jedan problem, budući da je posebno teško instalirati softverske popravke na IoT uređaje. "Ako mislite da je teško zakrpati uobičajeni softver, deset je puta teže zakrpati IoT uređaje," rekao je Grimes.
U idealnom svijetu, svi IoT uređaji imali bi automatsko krpanje kako bi automatski instalirali sva ažuriranja. No, nažalost, Grimes ističe da većina IoT uređaja zahtijeva da ih ljudi ručno ažuriraju, skačući kroz sve vrste obruča kao što je korištenje nezgodne fizičke veze.
"Spekulirao bih da će 90% ranjivih GPS uređaja za praćenje ostati ranjivo i iskoristivo ako i kada ih prodavač stvarno odluči popraviti", rekao je Grimes. "IoT uređaji puni su ranjivosti, a to neće promjena ide u budućnost bez obzira koliko ovih priča izađe."