მკვლევარები აჩვენებენ, რომ პოპულარული GPS ტრეკერი დაუცველია ჰაკერებისთვის

Სარჩევი:

მკვლევარები აჩვენებენ, რომ პოპულარული GPS ტრეკერი დაუცველია ჰაკერებისთვის
მკვლევარები აჩვენებენ, რომ პოპულარული GPS ტრეკერი დაუცველია ჰაკერებისთვის
Anonim

მთავარი წაღებები

  • მკვლევარებმა აღმოაჩინეს კრიტიკული დაუცველობა პოპულარულ GPS ტრეკერში, რომელიც გამოიყენება მილიონობით მანქანაში.
  • შეცდომები რჩება გამოუსწორებელი, რადგან მწარმოებელმა ვერ შეძლო თანამშრომლობა მკვლევარებთან და კიბერუსაფრთხოების და ინფრასტრუქტურის უსაფრთხოების სააგენტოსთან (CISA).
  • ეს არის მხოლოდ ფიზიკური გამოვლინება იმ პრობლემისა, რომელიც საფუძვლად უდევს მთელი ჭკვიანი მოწყობილობის ეკოსისტემას, ვარაუდობენ უსაფრთხოების ექსპერტები.
Image
Image

უსაფრთხოების მკვლევარებმა აღმოაჩინეს სერიოზული დაუცველობა პოპულარულ GPS ტრეკერში, რომელიც გამოიყენება მილიონზე მეტ მანქანაში მთელს მსოფლიოში.

უსაფრთხოების გამყიდველი BitSight-ის მკვლევართა აზრით, MiCODUS MV720 ავტომობილის GPS ტრეკერის ექვსი დაუცველობის გამოყენების შემთხვევაში, საფრთხის მოქმედ პირებს საშუალება ექნებათ წვდომა და აკონტროლონ მოწყობილობის ფუნქციები, მათ შორის მანქანის თვალყურის დევნება ან საწვავის გამორთვა. მიწოდება. მიუხედავად იმისა, რომ უსაფრთხოების ექსპერტებმა გამოთქვეს შეშფოთება ჭკვიან, ინტერნეტზე ჩართული მოწყობილობების სუსტი უსაფრთხოების შესახებ, BitSight კვლევა განსაკუთრებით შემაშფოთებელია როგორც ჩვენი კონფიდენციალურობისთვის, ასევე უსაფრთხოებისთვის.

„სამწუხაროდ, ამ დაუცველობების გამოყენება რთული არ არის“, - აღნიშნა პედრო უმბელინომ, BitSight-ის უსაფრთხოების მთავარმა მკვლევარმა პრესრელიზში. "ამ გამყიდველის მთლიანი სისტემის არქიტექტურის ძირითადი ხარვეზები აჩენს მნიშვნელოვან კითხვებს სხვა მოდელების დაუცველობის შესახებ."

დისტანციური მართვა

მოხსენებაში, BitSight ამბობს, რომ მან MV720-ს შეუწყო ხელი, რადგან ეს იყო კომპანიის ყველაზე ნაკლებად ძვირი მოდელი, რომელიც გთავაზობთ ქურდობის საწინააღმდეგო, საწვავის გათიშვის, დისტანციური მართვის და გეოფენის დაცვის შესაძლებლობებს.ფიჭური ქსელით ჩართული ტრეკერი იყენებს SIM ბარათს მისი სტატუსისა და მდებარეობის განახლებების მხარდამჭერ სერვერებზე გადასაცემად და შექმნილია იმისთვის, რომ მიიღოს ბრძანებები მისი ლეგიტიმური მფლობელებისგან SMS-ის საშუალებით.

BitSight აცხადებს, რომ მან აღმოაჩინა დაუცველობა დიდი ძალისხმევის გარეშე. მან ხუთი ხარვეზისთვის კონცეფციის მტკიცებულების (PoCs) კოდიც კი შეიმუშავა, რათა ეჩვენებინა, რომ დაუცველობა შეიძლება გამოიყენოს ბუნებაში ცუდი მსახიობების მიერ.

Image
Image

და ეს არ არის მხოლოდ ინდივიდები, რომლებიც შეიძლება დაზარალდნენ. ტრეკერები პოპულარულია როგორც კომპანიებში, ასევე სამთავრობო, სამხედრო და სამართალდამცავ ორგანოებში. ამან აიძულა მკვლევარები გაეზიარონ თავიანთი კვლევა CISA-ს მას შემდეგ, რაც მან ვერ მოიპოვა დადებითი პასუხი შენჟენში, ჩინეთში დაფუძნებული საავტომობილო ელექტრონიკის და აქსესუარების მწარმოებლისა და მიმწოდებლისგან.

მას შემდეგ, რაც CISA-მ ვერ მიიღო პასუხი MiCODUS-ისგან, სააგენტომ საკუთარ თავზე აიღო შეცდომების დამატება საერთო მოწყვლადობისა და ექსპოზიციების სიაში (CVE) და მიანიჭა მათ საერთო დაუცველობის შეფასების სისტემის (CVSS) ქულა. რამდენიმე მათგანმა მიიღო კრიტიკული სიმძიმის ქულა 9.8 10-დან.

ამ მოწყვლადობის ექსპლუატაცია საშუალებას მისცემს შეტევის მრავალი შესაძლო სცენარს, რომელსაც შეიძლება ჰქონდეთ „დამანგრეველი და სიცოცხლისთვის საშიში შედეგებიც კი“, აღნიშნავენ მკვლევარები მოხსენებაში.

იაფი მღელვარება

იოლად ექსპლუატირებადი GPS ტრეკერი ხაზს უსვამს ბევრ რისკს ამჟამინდელი თაობის ნივთების ინტერნეტის (IoT) მოწყობილობების შესახებ, აღნიშნავენ მკვლევარები.

როჯერ გრაიმსი, განუცხადა გრაიმსმა Lifewire-ს ელექტრონული ფოსტით. „თქვენი მობილური ტელეფონი შეიძლება დაზიანდეს თქვენი საუბრების ჩასაწერად. თქვენი ლეპტოპის ვებკამერა შეიძლება ჩართოთ თქვენი და თქვენი შეხვედრების ჩასაწერად. და თქვენი მანქანის GPS თვალთვალის მოწყობილობა შეიძლება გამოყენებულ იქნას კონკრეტული თანამშრომლების მოსაძებნად და მანქანების გასაუქმებლად.”

მკვლევარები აღნიშნავენ, რომ ამჟამად MiCODUS MV720 GPS ტრეკერი რჩება დაუცველი აღნიშნული ხარვეზების მიმართ, რადგან გამყიდველს არ გაუკეთებია გამოსწორება. ამის გამო, BitSight რეკომენდაციას უწევს ყველას, ვინც იყენებს ამ GPS ტრეკერს, გამორთოს ის, სანამ გამოსწორება არ იქნება ხელმისაწვდომი.

ამაზე დაყრდნობით, გრაიმსი განმარტავს, რომ შესწორება წარმოადგენს სხვა პრობლემას, რადგან განსაკუთრებით რთულია პროგრამული უზრუნველყოფის შესწორებების დაყენება IoT მოწყობილობებზე. „თუ ფიქრობთ, რომ რთულია ჩვეულებრივი პროგრამული უზრუნველყოფის დაყენება, ათჯერ უფრო რთულია IoT მოწყობილობების დაყენება“, - თქვა გრაიმსმა.

იდეალურ სამყაროში, ყველა IoT მოწყობილობას ექნება ავტომატური შესწორება, რათა განახლებები ავტომატურად დააინსტალიროთ. სამწუხაროდ, გრაიმსი აღნიშნავს, რომ IoT მოწყობილობების უმეტესობა მოითხოვს, რომ ადამიანები ხელით განაახლონ ისინი, გადალახონ ყველა სახის რგოლი, როგორიცაა არასასიამოვნო ფიზიკური კავშირის გამოყენება.

"მე ვივარაუდებ, რომ მოწყვლადი GPS თვალთვალის მოწყობილობების 90% დარჩება დაუცველი და ექსპლუატაცია, თუ და როდესაც გამყიდველი რეალურად გადაწყვეტს მათ გამოსწორებას," თქვა გრაიმსმა. "IoT მოწყობილობები სავსეა დაუცველობით და ეს არ იქნება. შეიცვლება მომავალში, რაც არ უნდა გამოვიდეს ეს ამბავი.”

გირჩევთ: