Tyrėjai rodo, kad populiarus GPS sekiklis yra pažeidžiamas įsilaužėlių

Turinys:

Tyrėjai rodo, kad populiarus GPS sekiklis yra pažeidžiamas įsilaužėlių
Tyrėjai rodo, kad populiarus GPS sekiklis yra pažeidžiamas įsilaužėlių
Anonim

Pagrindiniai pasiėmimai

  • Tyrėjai aptiko svarbių populiaraus GPS sekimo įrenginio, naudojamo milijonuose transporto priemonių, pažeidžiamumą.
  • Klaidos lieka nepataisytos, nes gamintojui nepavyko susisiekti su tyrėjais ir net Kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA).
  • Tai tik fizinis visos išmaniųjų įrenginių ekosistemos problemos požymis, rekomenduoja saugos ekspertai.
Image
Image

Saugumo tyrinėtojai atskleidė rimtų pažeidžiamumų populiariame GPS sekimo įrenginyje, kuris naudojamas daugiau nei milijone transporto priemonių visame pasaulyje.

Anot saugos tiekėjo „BitSight“tyrėjų, šešios MiCODUS MV720 transporto priemonės GPS sekimo pažeidžiamumas gali leisti grėsmės subjektams pasiekti ir valdyti įrenginio funkcijas, įskaitant transporto priemonės sekimą arba degalų išjungimą. tiekimas. Nors saugumo ekspertai išreiškė susirūpinimą dėl išmaniųjų įrenginių, kuriuose veikia internetas, saugumo, „BitSight“tyrimas ypač kelia nerimą ir dėl mūsų privatumo, ir dėl saugumo.

„Deja, šias spragas nesunku išnaudoti“, – pranešime spaudai pažymėjo Pedro Umbelino, pagrindinis BitSight saugumo tyrinėtojas. "Pagrindiniai šio pardavėjo bendros sistemos architektūros trūkumai kelia rimtų klausimų dėl kitų modelių pažeidžiamumo."

Nuotolinio valdymo pultas

Ataskaitoje „BitSight“teigia, kad ji priartėjo prie MV720, nes tai buvo pigiausias bendrovės modelis, siūlantis apsaugos nuo vagystės, kuro išjungimo, nuotolinio valdymo ir geografinio atitvėrimo galimybes. Mobiliojo ryšio stebėjimo priemonė naudoja SIM kortelę, kad perduotų savo būsenos ir vietos naujinius į palaikomus serverius, ir yra sukurta taip, kad gautų komandas iš teisėtų savininkų SMS žinutėmis.

BitSight teigia aptikęs pažeidžiamumą be didelių pastangų. Jis netgi sukūrė koncepcijos įrodymo (PoC) kodą penkiems trūkumams, kad parodytų, jog pažeidžiamumu gali išnaudoti gamtoje blogi veikėjai.

Image
Image

Ir tai gali būti paveikta ne tik asmenys. Stebėtojai yra populiarūs tarp įmonių, taip pat vyriausybinių, karinių ir teisėsaugos institucijų. Tai paskatino tyrėjus pasidalinti savo tyrimais su CISA po to, kai nepavyko sulaukti teigiamo Šendženo (Kinijoje) automobilių elektronikos ir priedų gamintojo bei tiekėjo atsakymo.

Kai CISA taip pat negavo atsakymo iš MiCODUS, agentūra ėmėsi klaidų įtraukti į bendrų pažeidžiamumų ir galimų pavojų (CVE) sąrašą ir priskyrė joms bendrosios pažeidžiamumo vertinimo sistemos (CVSS) balą. kai kurie iš jų gavo kritinį 9 balų sunkumo balą.8 iš 10.

Šių pažeidžiamumų išnaudojimas leistų įvykdyti daugybę galimų išpuolių scenarijų, kurie gali turėti „pražūtingų ir net gyvybei pavojingų padarinių“, – pažymi tyrėjai ataskaitoje.

Pigūs įspūdžiai

Lengvai išnaudojamas GPS sekiklis išryškina daugybę pavojų, kylančių dėl dabartinės daiktų interneto (IoT) kartos įrenginių, pažymi tyrėjai.

Rogeris Grimesas, Grimesas pasakė Lifewire el. paštu. „Jūsų mobilusis telefonas gali būti pažeistas, kad būtų galima įrašyti jūsų pokalbius. Galima įjungti nešiojamojo kompiuterio internetinę kamerą, kad būtų galima įrašyti jus ir jūsų susitikimus. O jūsų automobilio GPS sekimo įrenginys gali būti naudojamas ieškant konkrečių darbuotojų ir išjungiant transporto priemones.“

Tyrėjai pastebi, kad šiuo metu „MiCODUS MV720“GPS sekimo priemonė išlieka pažeidžiama dėl minėtų trūkumų, nes pardavėjas nepateikė pataisymo. Dėl šios priežasties „BitSight“rekomenduoja visiems, kurie naudojasi šiuo GPS sekikliu, jį išjungti, kol bus galima pataisyti.

Remdamasis tuo, Grimes paaiškina, kad pataisymas kelia dar vieną problemą, nes ypač sunku įdiegti programinės įrangos pataisymus daiktų interneto įrenginiuose. „Jei manote, kad sudėtinga pataisyti įprastą programinę įrangą, tai dešimt kartų sunkiau pataisyti daiktų interneto įrenginius“, – sakė Grimesas.

Idealiame pasaulyje visi daiktų interneto įrenginiai turėtų automatinį pataisymą, kad naujinimai būtų įdiegti automatiškai. Tačiau, deja, Grimesas atkreipia dėmesį į tai, kad dauguma daiktų interneto įrenginių reikalauja, kad žmonės juos atnaujintų rankiniu būdu, peršokdami per įvairius lankus, pvz., naudodami nepatogų fizinį ryšį.

„Manau, kad 90 % pažeidžiamų GPS sekimo įrenginių išliks pažeidžiami ir išnaudojami, jei ir kai pardavėjas iš tikrųjų nuspręs juos ištaisyti“, – sakė Grimesas. „IoT įrenginiai yra pilni pažeidžiamumų ir taip nebus pasikeis į ateitį, nesvarbu, kiek šių istorijų pasiskleis.“

Rekomenduojamas:

Meta nenori, kad jūsų duomenys atsidurtų įsilaužėlių duomenų bazėse

Meta nenori, kad jūsų duomenys atsidurtų įsilaužėlių duomenų bazėse

Meta imasi veiksmų, kad sugautų išgryninimo programas, ir plečia savo klaidų mažinimo programas, kad būtų veiksmingesnė

Tyrimas rodo, kad dabartinės „iPhone“kainos yra 81 % didesnės nei 2007 m

Tyrimas rodo, kad dabartinės „iPhone“kainos yra 81 % didesnės nei 2007 m

Remiantis neseniai atliktu tyrimu, „Apple iPhone“kainos smarkiai išaugo per pastaruosius 14 metų, o vidutinės išlaidos visame pasaulyje išaugo 81 proc

Kodėl internetas yra pažeidžiamas dėl gedimų

Kodėl internetas yra pažeidžiamas dėl gedimų

Ekspertai teigia, kad neseniai įvykęs pasaulinis interneto nutraukimas išryškina žiniatinklio pažeidžiamumą dėl išjungimų ir didėjantį jo priklausomybę nuo turinio platinimo tinklų

5 rodo, kad jūsų „Tinder Match“yra sukčių robotas

5 rodo, kad jūsų „Tinder Match“yra sukčių robotas

Jūsų „Tinder“atitiktis gali būti per gera, kad būtų tiesa. Štai penki įspėjamieji ženklai, kad jie gali būti užmaskuotas sukčių robotas

HyperX Alloy Origins 60 apžvalga: ši klaviatūra rodo, kad mažiau yra daugiau

HyperX Alloy Origins 60 apžvalga: ši klaviatūra rodo, kad mažiau yra daugiau

HyperX Alloy Origins 60 yra kompaktiška, universali ir palyginti prieinama žaidimų klaviatūra. Bandžiau jį daugiau nei mėnesį, kad pamatyčiau, ar jis vertas jūsų pinigų