Pētnieki parāda, ka populārais GPS izsekotājs ir neaizsargāts pret hakeriem

Satura rādītājs:

Pētnieki parāda, ka populārais GPS izsekotājs ir neaizsargāts pret hakeriem
Pētnieki parāda, ka populārais GPS izsekotājs ir neaizsargāts pret hakeriem
Anonim

Atslēgas līdzņemšanai

  • Pētnieki ir atklājuši kritiskas ievainojamības populārajā GPS izsekotājā, ko izmanto miljoniem transportlīdzekļu.
  • Kļūdas joprojām nav izlabotas, jo ražotājam nav izdevies sazināties ar pētniekiem un pat Kiberdrošības un infrastruktūras drošības aģentūru (CISA).
  • Tā ir tikai fiziskas izpausmes problēmai, kas ir visas viedierīču ekosistēmas pamatā, iesaka drošības eksperti.
Image
Image

Drošības pētnieki ir atklājuši nopietnas ievainojamības populārajā GPS izsekotājā, ko izmanto vairāk nekā miljonā transportlīdzekļu visā pasaulē.

Saskaņā ar drošības pārdevēja BitSight pētniekiem, ja tās tiek izmantotas, MiCODUS MV720 transportlīdzekļa GPS izsekotāja sešas ievainojamības varētu ļaut apdraudējuma dalībniekiem piekļūt un kontrolēt ierīces funkcijas, tostarp izsekot transportlīdzekli vai pārtraukt tā degvielu. piegāde. Lai gan drošības eksperti ir pauduši bažas par viedo, internetam iespējotu ierīču vājo drošību kopumā, BitSight pētījums ir īpaši satraucošs gan mūsu privātuma, gan drošības ziņā.

"Diemžēl šīs ievainojamības nav grūti izmantot," paziņojumā presei atzīmēja Pedro Umbelino, BitSight galvenais drošības pētnieks. "Šī pārdevēja vispārējās sistēmas arhitektūras pamata trūkumi rada būtiskus jautājumus par citu modeļu ievainojamību."

Tālvadības pults

Pārskatā BitSight saka, ka tas ir pielīdzināms MV720, jo tas bija uzņēmuma lētākais modelis, kas piedāvā pretaizdzīšanas, degvielas padeves atslēgšanu, tālvadības pulti un ģeogrāfiskās nožogojuma iespējas. Izsekotājs ar iespējotu mobilo sakaru tīklu izmanto SIM karti, lai pārsūtītu tās statusa un atrašanās vietas atjauninājumus uz atbalsta serveriem, un ir paredzēts, lai saņemtu komandas no tā likumīgajiem īpašniekiem, izmantojot SMS.

BitSight apgalvo, ka ir atklājis ievainojamības bez lielas piepūles. Tā pat izstrādāja koncepcijas pierādījumu (PoCs) kodu pieciem trūkumiem, lai parādītu, ka ievainojamības var izmantot savvaļā slikti aktieri.

Image
Image

Un tas var ietekmēt ne tikai personas. Izsekotājus iecienījuši uzņēmumi, kā arī valdības, militārās un tiesībaizsardzības iestādes. Tas lika pētniekiem dalīties savos pētījumos ar CISA pēc tam, kad tas nespēja iegūt pozitīvu atbildi no Šenženas, Ķīnas ražotāja un automobiļu elektronikas un piederumu piegādātāja.

Pēc tam, kad CISA arī nesaņēma atbildi no MiCODUS, aģentūra apņēmās pievienot kļūdas Common Vulnerability and Exposures (CVE) sarakstam un piešķīra tām kopējo ievainojamību vērtēšanas sistēmas (CVSS) punktu. pāris no viņiem ieguva kritisko smaguma pakāpi - 9.8 no 10.

Šo ievainojamību izmantošana ļautu īstenot daudzus iespējamos uzbrukumu scenārijus, kam varētu būt "katastrofālas un pat dzīvībai bīstamas sekas", ziņo pētnieki.

Lēti saviļņojumi

Viegli izmantojamais GPS izsekotājs izceļ daudzus riskus, kas saistīti ar pašreizējās lietiskā interneta (IoT) ierīču paaudzes, atzīmē pētnieki.

Roger Grimes, Grimes pastāstīja Lifewire pa e-pastu. Jūsu mobilais tālrunis var tikt apdraudēts, lai ierakstītu jūsu sarunas. Jūsu klēpjdatora tīmekļa kameru var ieslēgt, lai ierakstītu jūs un jūsu sanāksmes. Un jūsu automašīnas GPS izsekošanas ierīci var izmantot, lai atrastu konkrētus darbiniekus un atspējotu transportlīdzekļus.”

Pētnieki atzīmē, ka pašlaik MiCODUS MV720 GPS izsekotājs joprojām ir neaizsargāts pret minētajiem trūkumiem, jo pārdevējs nav darījis pieejamu labojumu. Tādēļ BitSight iesaka ikvienam, kas izmanto šo GPS izsekotāju, to atspējot, līdz ir pieejams labojums.

Pamatojoties uz to, Grimes skaidro, ka ielāpēšana rada vēl vienu problēmu, jo IoT ierīcēs ir īpaši grūti instalēt programmatūras labojumus. "Ja uzskatāt, ka ir grūti labot parasto programmatūru, IoT ierīcēm ir desmit reizes grūtāk labot," sacīja Grimes.

Ideālā pasaulē visām IoT ierīcēm būtu automātiska ielāpēšana, lai automātiski instalētu visus atjauninājumus. Taču diemžēl Grimes norāda, ka lielākajai daļai IoT ierīču tās ir jāatjaunina manuāli, pārvarot dažādas iespējas, piemēram, izmantojot neērtu fizisko savienojumu.

"Es domāju, ka 90% ievainojamo GPS izsekošanas ierīču paliks neaizsargātas un izmantojamas, ja un kad pārdevējs patiešām nolems tās labot," sacīja Grimes. "IoT ierīces ir pilnas ar ievainojamībām, un tas nenotiks pārmaiņas notiek nākotnē neatkarīgi no tā, cik daudz no šiem stāstiem iznāks.”

Ieteicams:

Pētnieki vēlas debesskrāpjus pārvērst par milzu akumulatoriem

Pētnieki vēlas debesskrāpjus pārvērst par milzu akumulatoriem

Pētnieki ir ierosinājuši izmantot liftus vai liftus augstās ēkās, lai iegūtu enerģiju. Tomēr pētnieki nav pārliecināti, vai to var izdarīt, izmantojot ēkas principus

Tagad hakeriem ir vieglāk izmantot publisku informāciju pret jums

Tagad hakeriem ir vieglāk izmantot publisku informāciju pret jums

Hakeri skrāpē vietnes, lai precizētu savus uzbrukumus, un jauns tiesas spriedums ļauj viņiem nepārtraukti turpināt

Kāpēc internets ir neaizsargāts pret pārtraukumiem

Kāpēc internets ir neaizsargāts pret pārtraukumiem

Eksperti saka, ka nesenais globālais interneta pārtraukums norāda uz tīmekļa neaizsargātību pret izslēgšanu un tā pieaugošo atkarību no satura izplatīšanas tīkliem

Kā AI drīz var palīdzēt hakeriem nozagt jūsu informāciju

Kā AI drīz var palīdzēt hakeriem nozagt jūsu informāciju

Mākslīgais intelekts labi spēj saskatīt modeļus un atrast datus. Šīs ir precīzas prasmes, kas varētu padarīt to par lielisku rīku hakeriem, kas meklē jaunus datu nozagšanas veidus

Bouncie braukšanas savienojuma apskats: vienkāršs un izdevīgs GPS izsekotājs

Bouncie braukšanas savienojuma apskats: vienkāršs un izdevīgs GPS izsekotājs

Bouncie Driving Connected GPS izsekotājs varētu izskatīties nepretenciozs, taču tā pieejamība un vienkāršība padara to par soli pāri pārējiem. Es testēju šo ierīci vairāk nekā 50 stundu laikā un atklāju, ka man ir grūti par to pateikt kaut ko sliktu