Зерттеушілер танымал GPS Tracker хакерлерге осал екенін көрсетті

Мазмұны:

Зерттеушілер танымал GPS Tracker хакерлерге осал екенін көрсетті
Зерттеушілер танымал GPS Tracker хакерлерге осал екенін көрсетті
Anonim

Негізгі ұсыныстар

  • Зерттеушілер миллиондаған көліктерде қолданылатын танымал GPS трекерінің маңызды осалдықтарын анықтады.
  • Өндіруші зерттеушілермен және тіпті Киберқауіпсіздік және инфрақұрылымдық қауіпсіздік агенттігімен (CISA) жұмыс істей алмағандықтан қателер түзетілмеген.
  • Бұл бүкіл смарт құрылғы экожүйесінің негізінде жатқан мәселенің физикалық көрінісі ғана, қауіпсіздік сарапшылары ұсынады.
Image
Image

Қауіпсіздік зерттеушілері дүние жүзіндегі миллионнан астам көлікте қолданылатын танымал GPS трекеріндегі елеулі осалдықтарды анықтады.

Қауіпсіздікті қамтамасыз етуші BitSight зерттеушілерінің пікірінше, егер пайдаланылса, MiCODUS MV720 көлік құралының GPS трекеріндегі алты осалдық қауіп-қатер субъектілеріне құрылғының функцияларына қол жеткізуге және басқаруға, соның ішінде көлікті қадағалауға немесе оның жанармайын өшіруге мүмкіндік береді. қамтамасыз ету. Қауіпсіздік сарапшылары жалпы смарт, интернет қосылған құрылғылардың әлсіз қауіпсіздігіне алаңдаушылық білдіргенімен, BitSight зерттеуі біздің жеке өміріміз бен қауіпсіздігіміз үшін ерекше алаңдатады.

«Өкінішке орай, бұл осалдықтарды пайдалану қиын емес», - деп атап өтті Педро Умбелино, BitSight компаниясының қауіпсіздік жөніндегі бас зерттеушісі, баспасөз хабарламасында. "Осы жеткізушінің жалпы жүйе архитектурасындағы негізгі кемшіліктер басқа үлгілердің осалдығы туралы маңызды сұрақтар тудырады."

Қашықтан басқару құралы

Есепте BitSight оның MV720-де нөлге жеткенін айтады, өйткені бұл компанияның ұрлыққа қарсы, отынды өшіру, қашықтан басқару және геоқоршау мүмкіндіктерін ұсынатын ең арзан моделі болды. Ұялы байланыс қосылған трекер күйі мен орын жаңартуларын қолдау көрсететін серверлерге жіберу үшін SIM картасын пайдаланады және оның заңды иелерінен SMS арқылы пәрмендерді алуға арналған.

BitSight осалдықтарды көп күш жұмсамай-ақ тапқанын айтады. Ол тіпті осалдықтарды жаман актерлар жабайы табиғатта пайдалана алатынын көрсету үшін бес кемшілікке арналған тұжырымдаманың (PoC) кодын әзірледі.

Image
Image

Және зардап шегуі мүмкін адамдар ғана емес. Трекерлер компаниялармен, сондай-ақ үкіметтік, әскери және құқық қорғау органдарымен танымал. Бұл Қытайдағы Шэньчжэньдегі автомобиль электроникасы мен аксессуарларын өндіруші және жеткізушіден оң жауап ала алмаған соң, зерттеушілер өз зерттеулерін CISA-мен бөлісуге итермеледі.

CISA да MiCODUS-тан жауап ала алмаған соң, агенттік қателерді Жалпы осалдықтар мен әсер етулер (CVE) тізіміне қосуды өз мойнына алды және оларға жалпы осалдықты бағалау жүйесінің (CVSS) ұпайын тағайындады, олардың бірнешеуі 9 сыни ауырлық ұпайын алды.10/8.

Осы осалдықтарды пайдалану көптеген ықтимал шабуыл сценарийлеріне мүмкіндік береді, олардың «қайғылы және тіпті өмірге қауіп төндіретін салдары» болуы мүмкін, деп есептейді зерттеушілер.

Арзан толқулар

Оңай пайдаланылатын GPS трекері заттар интернеті (IoT) құрылғыларының қазіргі буындағы көптеген қауіптерді көрсетеді, дейді зерттеушілер.

Роджер Граймс, Гримс Lifewire-ке электрондық пошта арқылы айтты. «Сөйлесулеріңізді жазу үшін ұялы телефоныңызға қауіп төнуі мүмкін. Ноутбуктің веб-камерасы сізді және жиналыстарыңызды жазу үшін қосулы болуы мүмкін. Көлігіңіздің GPS бақылау құрылғысын нақты қызметкерлерді табу және көліктерді өшіру үшін пайдалануға болады."

Зерттеушілер қазіргі уақытта MiCODUS MV720 GPS трекері аталған кемшіліктерге осал болып қала беретінін, өйткені жеткізуші түзетуді қол жетімді етпегенін атап өтті. Осыған байланысты BitSight осы GPS трекерін пайдаланатын кез келген адамға түзету қолжетімді болғанша оны өшіруді ұсынады.

Осыған сүйене отырып, Гримс патчинг басқа проблеманы тудыратынын түсіндіреді, себебі IoT құрылғыларында бағдарламалық құрал түзетулерін орнату әсіресе қиын. «Егер сіз кәдімгі бағдарламалық жасақтаманы жөндеу қиын деп ойласаңыз, IoT құрылғыларын түзету он есе қиын», - деді Гримс.

Идеал әлемде кез келген жаңартуларды автоматты түрде орнату үшін барлық IoT құрылғыларында автоматты түзету болады. Өкінішке орай, Гримс көптеген IoT құрылғыларының адамдардан қолмен жаңартуды талап ететінін, мысалы, ыңғайсыз физикалық қосылымды пайдалану сияқты құрсаулардың барлық түрінен өтуді талап ететінін айтады.

"Мен осал GPS бақылау құрылғыларының 90%-ы осал болып қала береді және егер сатушы оларды түзетуге шешім қабылдаса және пайдаланылуы мүмкін деп болжаймын," деді Гримс. "IoT құрылғылары осалдықтарға толы және бұл болмайды. осы оқиғалардың қаншасы шыққанына қарамастан болашақта өзгеріңіз."

Ұсынылған: