Ujawnione badania modułów GPS
26 lipca 2022
Badacze bezpieczeństwa zidentyfikowali szereg luk w bardzo popularnym module GPS, który jest używany przez rządy, firmy i zwykłych konsumentów w milionach urządzeń na całym świecie.
Chociaż możemy zwracać szczególną uwagę na niektóre urządzenia, z których korzystamy codziennie, takie jak telefony, rzadko zastanawiamy się nad naszymi samochodami.
Nowoczesne pojazdy są pełne elektroniki, w tym niektóre stale komunikują się z producentami i innymi usługami. Moduł GPS jest jednym z tych pomijanych urządzeń elektronicznych.
Wyniki badań BitSight
Badacze bezpieczeństwa z BitSight przyjrzeli się bliżej trackerowi MiCODUS MV720, wbudowanemu w 1,5 miliona urządzeń w 169 krajach, i znaleźli siedem luk w zabezpieczeniach, oznaczając niektóre z nich jako krytyczne ze względu na ich charakter.
Łatwo pomyśleć, że naruszony tracker GPS może co najwyżej przeciekać lokalizację konkretnego urządzenia, ale jest znacznie gorzej.
„Może to pozwolić hakerom na śledzenie osób bez ich wiedzy, zdalne wyłączanie flot korporacyjnych pojazdów zaopatrzeniowych i ratunkowych, nagłe zatrzymywanie pojazdów cywilnych na niebezpiecznych autostradach i wiele innych” – stwierdzili naukowcy.
„Na przykład atakujący może zmniejszyć ilość paliwa w pojeździe cywilnym i wdrożyć oprogramowanie ransomware, żądając okupu za przywrócenie pojazdu do stanu roboczego, lub może wdrożyć oprogramowanie ransomware do pojazdów we flocie pojazdów użytkowych organizacji, potencjalnie powodując niedobory dostaw i zakłócając ciągłość działania zarówno dla atakowanej organizacji, jak i partnerów łańcucha dostaw” – dodali naukowcy.
Niezabezpieczone Trakery
Sprawy są skomplikowane, ponieważ trackery są dostępne do kupienia za jedyne 20 dolarów na otwartym rynku, co oznacza, że każdy ma dostęp do sprzętu. Ponadto producenci odmówili odpowiedzi badaczowi i zajęcia się lukami w zabezpieczeniach. Dlatego główną radą dla wszystkich zainteresowanych stron jest zaprzestanie korzystania z urządzeń do czasu usunięcia luk w zabezpieczeniach.
Możemy przyjrzeć się dwóm pierwszym, aby zrozumieć, jak niebezpieczne są te luki.
- Użycie zakodowanych na stałe poświadczeń może pozwolić osobie atakującej zalogować się do serwera WWW, podszyć się pod użytkownika i wysłać polecenia SMS do lokalizatora GPS, tak jakby pochodziły z numeru telefonu komórkowego właściciela GPS. (CVE-2022-2107)
- Niewłaściwe uwierzytelnianie pozwala użytkownikowi wysyłać niektóre polecenia SMS do trackera GPS bez hasła. (CVE-2022-2141)
Zakodowane na stałe poświadczenia i niewłaściwe luki w zabezpieczeniach uwierzytelniania, z wynikiem 9,8 na 10, powinny przestraszyć każdą firmę korzystającą z tych modułów GPS.
Zadbaj o bezpieczeństwo systemu operacyjnego swoich urządzeń z certyfikowanym oprogramowaniem Bitdefender.
Najlepsza ochrona Twojego systemu
Autor
Obecnie
Najnowsze wpisy
Artykuły które mogą Ci się spodobać
Poradniki • Zagrożenia Internetowe
Oszustwa Spotify: Jak je rozpoznać i ich uniknąć?
30 czerwca 2025
Phishing • Zagrożenia Internetowe
Wyjaśnienie oszustwa „Dodaj ten numer do WhatsApp”
20 czerwca 2025