Keeawayt
- Tutkijat ovat havainneet kriittisiä haavoittuvuuksia suositussa GPS-seurantalaitteessa, jota käytetään miljoonissa ajoneuvoissa.
- Virheet ovat edelleen korjaamattomia, koska valmistaja ei ole onnistunut saamaan yhteyttä tutkijoihin eikä edes Cybersecurity and Infrastructure Security Agencyn (CISA) kanssa.
- Tämä on vain fyysinen ilmentymä koko älylaitteiden ekosysteemin taustalla olevasta ongelmasta, suosittelevat tietoturvaasiantuntijat.
Turvatutkijat ovat paljastaneet vakavia haavoittuvuuksia suositussa GPS-seurantalaitteessa, jota käytetään yli miljoonassa ajoneuvossa ympäri maailmaa.
Suojaustoimittaja BitSightin tutkijoiden mukaan MiCODUS MV720 -ajoneuvon GPS-seurantalaitteen kuusi haavoittuvuutta voisi hyödyntää ja antaa uhkatekijöille mahdollisuuden käyttää ja hallita laitteen toimintoja, mukaan lukien ajoneuvon jäljittäminen tai sen polttoaineen leikkaaminen toimittaa. Vaikka tietoturvaasiantuntijat ovat ilmaisseet huolensa älykkäiden Internet-yhteensopivien laitteiden löyhästä turvallisuudesta yleisesti, BitSight-tutkimus on erityisen huolestuttavaa sekä yksityisyytemme että turvallisuutemme kann alta.
"Valitettavasti näitä haavoittuvuuksia ei ole vaikea hyödyntää", totesi Pedro Umbelino, BitSightin tärkein tietoturvatutkija lehdistötiedotteessa. "Tämän toimittajan yleisen järjestelmäarkkitehtuurin perusvirheet herättävät merkittäviä kysymyksiä muiden mallien haavoittuvuudesta."
Kaukosäädin
Raportissa BitSight sanoo nollautuneensa MV720:een, koska se oli yhtiön halvin malli, joka tarjoaa varkaudeneston, polttoaineen katkaisun, kaukosäätimen ja geoaitausominaisuudet. Mobiilikäyttöinen seurantalaite lähettää tila- ja sijaintipäivityksensä SIM-kortin avulla tukipalvelimille, ja se on suunniteltu vastaanottamaan komentoja laillisilta omistajilta tekstiviestinä.
BitSight väittää löytäneensä haavoittuvuudet ilman paljon vaivaa. Se jopa kehitti proof of concept (PoCs) -koodin viidelle puutteelle osoittaakseen, että huonot toimijat voivat hyödyntää haavoittuvuuksia luonnossa.
Eikä se voi koskea vain yksilöitä. Seuraajat ovat suosittuja yritysten sekä hallituksen, armeijan ja lainvalvontaviranomaisten keskuudessa. Tämä sai tutkijat jakamaan tutkimuksensa CISA:n kanssa sen jälkeen, kun se ei saanut myönteistä vastausta Shenzhenissä sijaitsev alta autojen elektroniikan ja lisävarusteiden valmistaj alta ja toimittaj alta.
Kun CISA ei myöskään saanut vastausta MiCODUS:lta, virasto ryhtyi lisäämään virheet Common Vulnerabilities and Exposures (CVE) -luetteloon ja antoi niille Common Vulnerability Scoring System (CVSS) -pisteet, pari heistä ansaitsi kriittisen vakavuuspisteen 9.8/10.
Näiden haavoittuvuuksien hyödyntäminen mahdollistaisi monia mahdollisia hyökkäysskenaarioita, joilla voisi olla "tuhoisia ja jopa hengenvaarallisia seurauksia", tutkijat huomauttavat raportissa.
Halpoja jännityksiä
Helppo hyödynnettävä GPS-seuranta tuo esiin monia riskejä nykyisten esineiden internetin (IoT) laitteiden nykyisessä sukupolvessa, huomauttavat tutkijat.
Roger Grimes, Grimes kertoi Lifewirelle sähköpostitse. Matkapuhelimesi voidaan vaarantaa keskustelujen nauhoittamiseksi. Kannettavan tietokoneen verkkokamera voidaan kytkeä päälle, jotta voit tallentaa sinut ja kokouksesi. Ja autosi GPS-seurantalaitetta voidaan käyttää tiettyjen työntekijöiden etsimiseen ja ajoneuvojen poistamiseen käytöstä.”
Tutkijat huomauttavat, että tällä hetkellä MiCODUS MV720 GPS-seurantalaite on edelleen alttiina mainituille puutteille, koska myyjä ei ole antanut korjausta saataville. Tämän vuoksi BitSight suosittelee, että kaikki tämän GPS-seurantalaitteen käyttäjät poistavat sen käytöstä, kunnes korjaus on saatavilla.
Tämän pohj alta Grimes selittää, että korjaus on toinen ongelma, koska ohjelmistokorjausten asentaminen IoT-laitteisiin on erityisen vaikeaa. "Jos luulet, että tavallisten ohjelmistojen korjaaminen on vaikeaa, IoT-laitteiden korjaaminen on kymmenen kertaa vaikeampaa", Grimes sanoi.
Ihanteellisessa maailmassa kaikissa IoT-laitteissa olisi automaattinen korjaus, jotta päivitykset voidaan asentaa automaattisesti. Mutta valitettavasti Grimes huomauttaa, että useimmat IoT-laitteet vaativat ihmisten päivittämään ne manuaalisesti, hyppäämällä läpi kaikenlaisia vanteita, kuten käyttämällä epämukavaa fyysistä yhteyttä.
"Arvelisin, että 90 % haavoittuvista GPS-seurantalaitteista pysyy haavoittuvina ja hyödynnettävissä, jos ja kun myyjä todella päättää korjata ne", Grimes sanoi. "IoT-laitteet ovat täynnä haavoittuvuuksia, eikä tämä tule olemaan muutos tulee tulevaisuuteen riippumatta siitä, kuinka monta näistä tarinoista tulee ulos.”