Clau per emportar
- Els investigadors han descobert vulnerabilitats crítiques en un popular rastrejador GPS utilitzat en milions de vehicles.
- Els errors no s'han arreglat ja que el fabricant no ha pogut relacionar-se amb els investigadors i fins i tot amb l'Agència de seguretat cibernètica i d'infraestructures (CISA).
- Aquesta és només una manifestació física d'un problema subjacent a tot l'ecosistema de dispositius intel·ligents, suggereixen experts en seguretat.
Els investigadors de seguretat han descobert greus vulnerabilitats en un popular rastrejador GPS que s'utilitza en més d'un milió de vehicles a tot el món.
Segons els investigadors del proveïdor de seguretat BitSight, si s'exploten, les sis vulnerabilitats del rastrejador GPS de vehicles MiCODUS MV720 podrien permetre als actors de l'amenaça accedir i controlar les funcions del dispositiu, inclòs el seguiment del vehicle o tallar-ne el combustible. subministrament. Tot i que els experts en seguretat han expressat la seva preocupació per la manca de seguretat en els dispositius intel·ligents i connectats a Internet en general, la investigació de BitSight és especialment preocupant tant per a la nostra privadesa com per a la nostra seguretat.
"Desafortunadament, aquestes vulnerabilitats no són difícils d'explotar", va assenyalar Pedro Umbelino, investigador principal de seguretat de BitSight, en un comunicat de premsa. "Els defectes bàsics de l'arquitectura general del sistema d'aquest proveïdor plantegen preguntes importants sobre la vulnerabilitat d' altres models."
Comandament a distància
A l'informe, BitSight diu que es va centrar en l'MV720, ja que era el model menys car de l'empresa que ofereix capacitats antirobatori, tall de combustible, control remot i geofencing. El rastrejador habilitat per a mòbils utilitza una targeta SIM per transmetre les actualitzacions d'estat i ubicació als servidors compatibles i està dissenyat per rebre ordres dels seus propietaris legítims mitjançant SMS.
BitSight afirma que va descobrir les vulnerabilitats sense gaire esforç. Fins i tot va desenvolupar un codi de prova de concepte (PoC) per a cinc defectes per demostrar que les vulnerabilitats poden ser explotades en estat salvatge per actors dolents.
I no només les persones es poden veure afectades. Els rastrejadors són populars entre les empreses, així com entre les agències governamentals, militars i policials. Això va portar els investigadors a compartir la seva investigació amb el CISA després que no va obtenir una resposta positiva del fabricant i proveïdor d'electrònica i accessoris per a automòbils amb seu a Shenzhen, a la Xina..
Després que el CISA tampoc no va obtenir una resposta de MiCODUS, l'agència es va encarregar d'afegir els errors a la llista CVE (Common Vulnerabilities and Exposures) i els va assignar una puntuació del Common Vulnerability Scoring System (CVSS). amb un parell d'ells obtenint una puntuació de gravetat crítica de 9.8 de 10.
L'explotació d'aquestes vulnerabilitats permetria molts escenaris d'atac possibles, que podrien tenir "implicacions desastroses i fins i tot mortals", assenyalen els investigadors de l'informe.
Emocions barates
El rastrejador GPS fàcilment explotable destaca molts dels riscos de la generació actual de dispositius d'Internet de les coses (IoT), observen els investigadors.
Roger Grimes, va dir Grimes a Lifewire per correu electrònic. "El teu telèfon mòbil es pot veure compromès per gravar les teves converses. La càmera web del vostre ordinador portàtil es pot activar per gravar vos altres i les vostres reunions. I el dispositiu de seguiment GPS del teu cotxe es pot utilitzar per trobar empleats específics i desactivar vehicles."
Els investigadors assenyalen que actualment, el rastrejador GPS MiCODUS MV720 segueix sent vulnerable als defectes esmentats, ja que el venedor no ha fet una solució disponible. Per això, BitSight recomana que qualsevol persona que faci servir aquest rastrejador GPS el desactivi fins que hi hagi una solució disponible.
A partir d'això, Grimes explica que el pedaç presenta un altre problema, ja que és especialment difícil instal·lar solucions de programari als dispositius IoT. "Si creieu que és difícil aplicar pedaços a programari normal, és deu vegades més difícil apexar dispositius IoT", va dir Grimes.
En un món ideal, tots els dispositius IoT tindrien un pegat automàtic per instal·lar les actualitzacions automàticament. Però, malauradament, Grimes assenyala que la majoria dels dispositius IoT requereixen que la gent els actualitzi manualment, s altant per tot tipus de cèrcols, com ara utilitzar una connexió física incòmode..
"Especularia que el 90% dels dispositius de seguiment GPS vulnerables seguiran sent vulnerables i explotables si i quan el venedor decideixi arreglar-los", va dir Grimes. "Els dispositius IoT estan plens de vulnerabilitats, i això no ho farà. canvis en el futur, no importa quantes d'aquestes històries surtin."