Badacze bezpieczeństwa zidentyfikowali szereg luk w bardzo popularnym module GPS, który jest używany przez rządy, firmy i zwykłych konsumentów w milionach urządzeń na całym świecie.
Chociaż możemy zwracać szczególną uwagę na niektóre urządzenia, z których korzystamy codziennie, takie jak telefony, rzadko zastanawiamy się nad naszymi samochodami.
Nowoczesne pojazdy są pełne elektroniki, w tym niektóre stale komunikują się z producentami i innymi usługami. Moduł GPS jest jednym z tych pomijanych urządzeń elektronicznych.
Wyniki badań BitSight
Badacze bezpieczeństwa z BitSight przyjrzeli się bliżej trackerowi MiCODUSMV720, wbudowanemu w 1,5 miliona urządzeń w 169 krajach, i znaleźli siedem luk w zabezpieczeniach, oznaczając niektóre z nich jako krytyczne ze względu na ich charakter.
Łatwo pomyśleć, że naruszony tracker GPS może co najwyżej przeciekać lokalizację konkretnego urządzenia, ale jest znacznie gorzej.
“Może to pozwolić hakerom na śledzenie osób bez ich wiedzy, zdalne wyłączanie flot korporacyjnych pojazdów zaopatrzeniowych i ratunkowych, nagłe zatrzymywanie pojazdów cywilnych na niebezpiecznych autostradach i wiele innych” – stwierdzili naukowcy.
“Na przykład atakujący może zmniejszyć ilość paliwa w pojeździe cywilnym i wdrożyć oprogramowanie ransomware, żądając okupu za przywrócenie pojazdu do stanu roboczego, lub może wdrożyć oprogramowanie ransomware do pojazdów we flocie pojazdów użytkowych organizacji, potencjalnie powodując niedobory dostaw i zakłócając ciągłość działania zarówno dla atakowanej organizacji, jak i partnerów łańcucha dostaw” – dodali naukowcy.
Niezabezpieczone Trakery
Sprawy są skomplikowane, ponieważ trackery są dostępne do kupienia za jedyne 20 dolarów na otwartym rynku, co oznacza, że każdy ma dostęp do sprzętu. Ponadto producenci odmówili odpowiedzi badaczowi i zajęcia się lukami w zabezpieczeniach. Dlatego główną radą dla wszystkich zainteresowanych stron jest zaprzestanie korzystania z urządzeń do czasu usunięcia luk w zabezpieczeniach.
Możemy przyjrzeć się dwóm pierwszym, aby zrozumieć, jak niebezpieczne są te luki.
Użycie zakodowanych na stałe poświadczeń może pozwolić osobie atakującej zalogować się do serwera WWW, podszyć się pod użytkownika i wysłać polecenia SMS do lokalizatora GPS, tak jakby pochodziły z numeru telefonu komórkowego właściciela GPS. (CVE-2022-2107)
Niewłaściwe uwierzytelnianie pozwala użytkownikowi wysyłać niektóre polecenia SMS do trackera GPS bez hasła. (CVE-2022-2141)
Zakodowane na stałe poświadczenia i niewłaściwe luki w zabezpieczeniach uwierzytelniania, z wynikiem 9,8 na 10, powinny przestraszyć każdą firmę korzystającą z tych modułów GPS.
Zadbaj o bezpieczeństwo systemu operacyjnego swoich urządzeń z certyfikowanym oprogramowaniem Bitdefender.