Forskare visar att populära GPS-spårare är sårbara för hackare

Innehållsförteckning:

Forskare visar att populära GPS-spårare är sårbara för hackare
Forskare visar att populära GPS-spårare är sårbara för hackare
Anonim

Key takeaways

  • Forskare har upptäckt kritiska sårbarheter i en populär GPS-spårare som används i miljontals fordon.
  • Buggarna förblir oparpade eftersom tillverkaren har misslyckats med att samarbeta med forskarna och till och med Cybersecurity and Infrastructure Security Agency (CISA).
  • Det här är bara en fysisk manifestation av ett problem som ligger bakom hela ekosystemet för smarta enheter, föreslår säkerhetsexperter.
Image
Image

Säkerhetsforskare har upptäckt allvarliga sårbarheter i en populär GPS-spårare som används i över en miljon fordon runt om i världen.

Enligt forskarna med säkerhetsleverantören BitSight, om de utnyttjas, kan de sex sårbarheterna i MiCODUS MV720 GPS-spårare för fordon göra det möjligt för hotaktörer att komma åt och kontrollera enhetens funktioner, inklusive spåra fordonet eller stänga av dess bränsle tillförsel. Även om säkerhetsexperter har uttryckt oro över den slappa säkerheten i smarta, internetaktiverade enheter överlag, är BitSight-forskningen särskilt oroande för både vår integritet och säkerhet.

"Tyvärr är dessa sårbarheter inte svåra att utnyttja", konstaterade Pedro Umbelino, säkerhetsforskare på BitSight, i ett pressmeddelande. "Grundläggande brister i den här leverantörens övergripande systemarkitektur väcker betydande frågor om sårbarheten hos andra modeller."

Fjärrkontroll

I rapporten säger BitSight att det satsade på MV720 eftersom det var företagets billigaste modell som erbjuder stöldskydd, bränsleavstängning, fjärrkontroll och geofencing. Den mobilaktiverade spåraren använder ett SIM-kort för att överföra status- och platsuppdateringar till stödjande servrar och är utformad för att ta emot kommandon från sina legitima ägare via SMS.

BitSight hävdar att det upptäckte sårbarheterna utan större ansträngning. Den utvecklade till och med proof of concept (PoCs)-kod för fem av bristerna för att visa att sårbarheterna kan utnyttjas i naturen av dåliga aktörer.

Image
Image

Och det är inte bara individer som kan drabbas. Spårarna är populära bland företag såväl som hos myndigheter, militärer och brottsbekämpande myndigheter. Detta ledde till att forskarna delade med sig av sin forskning till CISA efter att den inte lyckades få fram ett positivt svar från den Shenzhen, Kina-baserade tillverkaren och leverantören av fordonselektronik och tillbehör.

Efter att CISA inte heller fick ett svar från MiCODUS tog byrån på sig att lägga till buggarna i listan Common Vulnerabilities and Exposures (CVE) och tilldelade dem en Common Vulnerability Scoring System (CVSS)-poäng, med ett par av dem som fick en kritisk allvarlighetsgrad på 9.8 av 10.

Utnyttjandet av dessa sårbarheter skulle möjliggöra många möjliga attackscenarier, som kan ha "katastrofliga och till och med livshotande konsekvenser", konstaterar forskarna i rapporten.

Cheap Thrills

Den lättanvändbara GPS-spåraren belyser många av riskerna med den nuvarande generationen av Internet of Things-enheter (IoT), noterar forskarna.

Roger Grimes, sa Grimes till Lifewire via e-post. Din mobiltelefon kan äventyras för att spela in dina konversationer. Din bärbara dators webbkamera kan slås på för att spela in dig och dina möten. Och din bils GPS-spårningsenhet kan användas för att hitta specifika anställda och inaktivera fordon.”

Forskarna noterar att för närvarande förblir MiCODUS MV720 GPS-spåraren sårbar för de nämnda bristerna eftersom leverantören inte har gjort en fix tillgänglig. På grund av detta rekommenderar BitSight att alla som använder denna GPS-spårare inaktiverar den tills en korrigering görs tillgänglig.

Med utgångspunkt i detta förklarar Grimes att patchning utgör ett annat problem, eftersom det är särskilt svårt att installera programfixar på IoT-enheter. "Om du tycker att det är svårt att patcha vanlig programvara är det tio gånger så svårt att patcha IoT-enheter", sa Grimes.

I en idealisk värld skulle alla IoT-enheter ha auto-patch för att installera eventuella uppdateringar automatiskt. Men tyvärr påpekar Grimes att de flesta IoT-enheter kräver att folk uppdaterar dem manuellt och hoppar igenom alla typer av ramar som att använda en obekväm fysisk anslutning.

"Jag skulle spekulera i att 90 % av sårbara GPS-spårningsenheter kommer att förbli sårbara och exploaterbara om och när leverantören verkligen bestämmer sig för att fixa dem", sa Grimes. "IoT-enheter är fulla av sårbarheter, och det kommer inte att göra det. förändring som går in i framtiden oavsett hur många av dessa berättelser som kommer ut.”

Rekommenderad:

Det är nu enklare för hackare att använda offentlig information mot dig

Det är nu enklare för hackare att använda offentlig information mot dig

Hackare skrapar webbplatser för att finjustera sina attacker, och en ny domstolsbeslut låter dem fortsätta oförminskat

Forskare vänder sig till AI för att skydda havsdjur

Forskare vänder sig till AI för att skydda havsdjur

AI hjälper till att förhindra överfiske för att skydda världens krympande marina arter, även om vissa experter varnar för att AI inte är lösningen på alla problem

Windows 10 för att lägga till Xbox Tech för att hjälpa spel att laddas snabbare

Windows 10 för att lägga till Xbox Tech för att hjälpa spel att laddas snabbare

Microsoft tar med tekniken bakom Xbox Series X:s snabbare laddningstider till Windows 10 och Windows 11

OnePlus säger att det saktar ner populära appar för att spara batteri

OnePlus säger att det saktar ner populära appar för att spara batteri

OnePlus medgav att det medvetet saktar ner populära appar som Google Chrome och Twitter för att spara batteritid i OnePlus 9 och 9 Pro-telefonerna

7 populära sätt att spara länkar för att läsa senare

7 populära sätt att spara länkar för att läsa senare

Spara dina länkar för att läsa eller visa senare med hjälp av ett verktyg eller en tjänst. Här är gänget vi rekommenderar