Krytyczne błędy w trackerze GPS umożliwiają „katastrofalne” i „zagrażające życiu” hakowanie

Firma ochroniarska i rząd USA doradzają społeczeństwu natychmiastowe zaprzestanie korzystania z popularnego urządzenia śledzącego GPS lub przynajmniej zmniejszenie narażenia na niego, powołując się na szereg luk, które umożliwiają hakerom zdalne wyłączanie samochodów podczas ich ruchu, śledzenie zapisów lokalizacji , rozbrajać alarmy i odcinać paliwo .

Ocena firmy BitSight zajmująca się bezpieczeństwem wykryła sześć luk w Mikody MV720Lokalizator GPS, który kosztuje około 20 USD i jest powszechnie dostępny. Naukowcy, którzy przeprowadzili ocenę, uważają, że te same krytyczne słabości znajdują się w innych modelach śledzących Micodus. Producent z Chin twierdzi, że 1,5 miliona jego trackerów znajduje się u 420 000 klientów. BitSight odkrył, że urządzenie jest używane w 169 krajach, wśród klientów, w tym rządów, wojska, organów ścigania, linii lotniczych, żeglugi i produkcji.

BitSight odkrył, że mówi o sześciu „poważnych” lukach w urządzeniu, które pozwalają na szereg potencjalnych ataków. Jedną z wad jest wykorzystanie nieszyfrowanych połączeń HTTP, które umożliwiają zdalnym hakerom przeprowadzanie w środku wrogich ataków, które przechwytują lub zmieniają żądania wysyłane między aplikacją mobilną a obsługującymi ją serwerami. Inne słabości obejmują wadliwy mechanizm uwierzytelniania w aplikacji mobilnej, który może umożliwić atakującym uzyskanie dostępu do klucza sprzętowego w celu zablokowania modułów śledzących oraz możliwość korzystania z dedykowanego adresu IP, który umożliwia hakerom monitorowanie i kontrolowanie całej komunikacji do i z urządzenie.

Firma ochroniarska poinformowała, że ​​po raz pierwszy skontaktowała się z Micodusem we wrześniu, aby powiadomić urzędników firmy o lukach. BitSight i CISA w końcu ogłosiły wyniki we wtorek po kilkumiesięcznych próbach nawiązania prywatnej komunikacji z producentem. W chwili pisania tego tekstu wszystkie luki w zabezpieczeniach pozostają nienaruszone i złagodzone.

„BitSight zaleca, aby osoby i organizacje, które obecnie korzystają z trackerów GPS MiCODUS MV720, wyłączały te urządzenia, dopóki nie będzie dostępna poprawka” – powiedzieli naukowcy. Napisał. „Organizacje korzystające z dowolnego urządzenia śledzącego GPS MiCODUS, niezależnie od modelu, powinny być ostrzegane o braku bezpieczeństwa architektury systemu, który może narazić każde urządzenie na ryzyko”.

READ  Największy na świecie statek wycieczkowy Icon of the Seas wypływa w rejs, budząc obawy dotyczące emisji metanu

Amerykański Departament Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury ostrzega również przed zagrożeniami stwarzanymi przez krytyczne błędy bezpieczeństwa.

„Udane wykorzystanie tych luk w zabezpieczeniach może umożliwić atakującemu przejęcie kontroli nad dowolnym urządzeniem śledzącym GPS MV720, przyznanie dostępu do lokalizacji, tras, odcięcia paliwa i rozbrojenie różnych funkcji (np. alarmów)”, urzędnicy agencji Napisał.

Luka ta obejmuje jedno śledzone jako CVE-2022-2107, zaszyfrowane hasło o wskaźniku ważności 9,8 na 10. Moduły śledzące Micodus używają go jako hasła głównego. Hakerzy, którzy uzyskają ten kod dostępu, mogą go użyć do zalogowania się na serwerze sieciowym, podszycia się pod legalnego użytkownika i wysyłania poleceń do modułu śledzącego za pośrednictwem wiadomości SMS, które wydają się pochodzić z numeru telefonu komórkowego użytkownika GPS. Dzięki tej kontroli hakerzy mogą:

• Uzyskaj pełną kontrolę nad dowolnym urządzeniem śledzącym GPS
• Dostęp do informacji o lokalizacji, tras, geofence i śledzenia lokalizacji w czasie rzeczywistym
• Odetnij paliwo do pojazdów
• Rozbrojenie alarmów i inne funkcje

Oddzielna luka, CVE-2022-2141, powoduje uszkodzenie stanu uwierzytelniania w protokole używanym do komunikacji przez serwer Micodus i tracker GPS. Inne luki w zabezpieczeniach obejmują zaszyfrowane hasło używane przez serwer Micodus, błąd cross-site scripting na serwerze sieciowym oraz niezabezpieczone bezpośrednie odwołanie do obiektu na serwerze sieciowym. Inne oznaczenia śladowe obejmują CVE-2022-2199, CVE-2022-34150 i CVE-2022-33944.

„Wykorzystywanie tych luk może mieć katastrofalne, a nawet zagrażające życiu skutki” – napisali naukowcy BitSight. „Na przykład atakujący może wykorzystać pewne luki w zabezpieczeniach, aby odciąć paliwo dla całej floty pojazdów komercyjnych lub ratunkowych. Atakujący może też wykorzystać informacje GPS do monitorowania i nagłego zatrzymywania pojazdów na niebezpiecznych autostradach. Atakujący mogą wybrać ukradkowe śledzenie osób lub zażądać zapłaty okupu, aby przywrócić pojazdy niepełnosprawne są sprawne.Istnieje wiele potencjalnych scenariuszy, które mogą prowadzić do utraty życia, zniszczenia mienia, naruszenia prywatności i zagrożenia bezpieczeństwa narodowego.

READ  Chiński eksport rośnie nieoczekiwanie, ale ekonomiści ostrzegają przed osłabieniem

Próby skontaktowania się z Micodusem w celu uzyskania komentarza zakończyły się niepowodzeniem.

Ostrzeżenia BitSight są ważne. Każdy, kto używa jednego z tych urządzeń, powinien je natychmiast wyłączyć, jeśli to możliwe, i skonsultować się z przeszkolonym specjalistą ds. bezpieczeństwa przed ponownym użyciem.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *