Ključni izsledki
- Raziskovalci so odkrili kritične ranljivosti v priljubljenem sledilniku GPS, ki se uporablja v milijonih vozil.
- Hrošči ostajajo nepopravljeni, saj proizvajalec ni sodeloval z raziskovalci in celo Agencijo za kibernetsko varnost in varnost infrastrukture (CISA).
- To je le fizična manifestacija težave, ki je v ozadju celotnega ekosistema pametnih naprav, predlagajo varnostni strokovnjaki.
Raziskovalci na področju varnosti so odkrili resne ranljivosti v priljubljenem sledilniku GPS, ki se uporablja v več kot milijon vozilih po vsem svetu.
Po mnenju raziskovalcev s prodajalcem varnosti BitSight bi šest ranljivosti v GPS-sledilniku vozil MiCODUS MV720 lahko, če bi jih izkoristili, omogočile akterjem groženj dostop in nadzor nad funkcijami naprave, vključno s sledenjem vozilu ali odklopom goriva ponudba. Medtem ko so varnostni strokovnjaki izrazili zaskrbljenost zaradi šibke varnosti pametnih naprav, ki podpirajo internet, je raziskava BitSight še posebej zaskrbljujoča tako za našo zasebnost kot varnost.
»Na žalost teh ranljivosti ni težko izkoristiti,« je v sporočilu za javnost zapisal Pedro Umbelino, glavni varnostni raziskovalec pri BitSightu. "Osnovne napake v celotni sistemski arhitekturi tega prodajalca sprožajo pomembna vprašanja o ranljivosti drugih modelov."
Daljinski upravljalnik
V poročilu BitSight pravi, da se je osredotočil na MV720, saj je bil to najcenejši model podjetja, ki ponuja zmogljivosti proti kraji, izklop goriva, daljinsko upravljanje in geofencing. Sledilnik, ki podpira mobilno omrežje, uporablja kartico SIM za prenos posodobitev svojega stanja in lokacije na podporne strežnike in je zasnovan za prejemanje ukazov od zakonitih lastnikov prek SMS-a.
BitSight trdi, da je odkril ranljivosti brez posebnega truda. Razvil je celo kodo za dokaz koncepta (PoCs) za pet pomanjkljivosti, da bi dokazal, da lahko slabi igralci izkoristijo ranljivosti v naravi.
In ne morejo biti prizadeti le posamezniki. Sledilci so priljubljeni pri podjetjih, pa tudi pri vladnih, vojaških in organih kazenskega pregona. To je raziskovalce privedlo do tega, da so svoje raziskave delili s CISA, potem ko niso uspeli pridobiti pozitivnega odziva proizvajalca in dobavitelja avtomobilske elektronike in dodatkov s sedežem v Shenzhenu na Kitajskem.
Potem ko tudi CISA ni prejela odgovora od MiCODUS-a, se je agencija lotila dodajanja hroščev na seznam pogostih ranljivosti in izpostavljenosti (CVE) in jim dodelila rezultat sistema točkovanja skupnih ranljivosti (CVSS), nekaj jih je dobilo oceno kritične resnosti 9.8 od 10.
Izkoriščanje teh ranljivosti bi omogočilo številne možne scenarije napadov, ki bi lahko imeli "katastrofalne in celo smrtno nevarne posledice," ugotavljajo raziskovalci v poročilu.
Cheap Thrills
Raziskovalci ugotavljajo, da sledilnik GPS, ki ga je enostavno uporabiti, poudarja številna tveganja pri trenutni generaciji naprav interneta stvari (IoT).
Roger Grimes, je Grimes povedal Lifewire po elektronski pošti. »Vaš mobilni telefon je lahko ogrožen za snemanje vaših pogovorov. Spletno kamero vašega prenosnika lahko vklopite, da snema vas in vaše sestanke. Sledilno napravo GPS vašega avtomobila pa lahko uporabite za iskanje določenih zaposlenih in onesposobitev vozil.«
Raziskovalci ugotavljajo, da trenutno GPS-sledilnik MiCODUS MV720 ostaja ranljiv za omenjene napake, saj prodajalec ni dal na voljo popravka. Zaradi tega BitSight vsem, ki uporabljajo ta GPS-sledilnik, priporoča, da ga onemogočijo, dokler ne bo na voljo popravek.
Na podlagi tega Grimes pojasnjuje, da predstavlja popravljanje še eno težavo, saj je še posebej težko namestiti popravke programske opreme na naprave IoT. »Če mislite, da je težko popraviti običajno programsko opremo, je desetkrat težje popraviti naprave IoT,« je dejal Grimes.
V idealnem svetu bi vse naprave interneta stvari imele samodejno popravke, da bi samodejno namestili vse posodobitve. Toda na žalost Grimes poudarja, da večina naprav interneta stvari zahteva, da jih ljudje ročno posodobijo, pri čemer skačejo skozi vse vrste obročev, kot je uporaba neprimerne fizične povezave.
"Špekuliral bi, da bo 90 % ranljivih sledilnih naprav GPS ostalo ranljivih in izkoriščenih, če in ko se prodajalec dejansko odloči, da jih bo popravil," je dejal Grimes. "Naprave IoT so polne ranljivosti, to pa ne bo sprememba, ki gre v prihodnost, ne glede na to, koliko teh zgodb izide.”