Studiuesit tregojnë se gjurmuesi popullor GPS është i cenueshëm ndaj hakerëve

Përmbajtje:

Studiuesit tregojnë se gjurmuesi popullor GPS është i cenueshëm ndaj hakerëve
Studiuesit tregojnë se gjurmuesi popullor GPS është i cenueshëm ndaj hakerëve
Anonim

Folje kryesore

  • Studiuesit kanë zbuluar dobësi kritike në një gjurmues popullor GPS të përdorur në miliona automjete.
  • Dëmtimet mbeten të pazgjidhura pasi prodhuesi nuk ka arritur të angazhohet me studiuesit, madje as me Agjencinë e Sigurisë Kibernetike dhe të Sigurisë së Infrastrukturës (CISA).
  • Ky është vetëm një manifestim fizik i një problemi që qëndron në themel të gjithë ekosistemit të pajisjes inteligjente, sugjerojnë ekspertët e sigurisë.
Image
Image

Kërkuesit e sigurisë kanë zbuluar dobësi serioze në një gjurmues popullor GPS që përdoret në mbi një milion automjete në mbarë botën.

Sipas studiuesve me shitësin e sigurisë BitSight, nëse shfrytëzohen, gjashtë dobësitë në gjurmuesin GPS të automjetit MiCODUS MV720 mund t'u mundësojnë aktorëve të kërcënimit të aksesojnë dhe të kontrollojnë funksionet e pajisjes, duke përfshirë gjurmimin e automjetit ose ndërprerjen e karburantit të tij. furnizimit. Ndërsa ekspertët e sigurisë kanë shprehur shqetësimin për sigurinë e dobët në pajisjet inteligjente, të aktivizuara me internet në përgjithësi, hulumtimi i BitSight është veçanërisht shqetësues për privatësinë dhe sigurinë tonë.

"Fatkeqësisht, këto dobësi nuk janë të vështira për t'u shfrytëzuar," vuri në dukje Pedro Umbelino, studiuesi kryesor i sigurisë në BitSight, në një njoftim për shtyp. "Difektet themelore në arkitekturën e përgjithshme të sistemit të këtij shitësi ngrenë pyetje të rëndësishme në lidhje me cenueshmërinë e modeleve të tjera."

Telekomanda

Në raport, BitSight thotë se ka zero në MV720 pasi ishte modeli më pak i kushtueshëm i kompanisë që ofron aftësi kundër vjedhjes, ndërprerjes së karburantit, telekomandimit dhe mbrojtjes gjeografike. Gjurmuesi i aktivizuar me celular përdor një kartë SIM për të transmetuar përditësimet e statusit dhe vendndodhjes te serverët mbështetës dhe është krijuar për të marrë komanda nga pronarët e tij legjitimë përmes SMS.

BitSight pretendon se zbuloi dobësitë pa shumë përpjekje. Ai madje zhvilloi kodin e provës së konceptit (PoCs) për pesë nga të metat në mënyrë që të demonstrojë se dobësitë mund të shfrytëzohen në natyrë nga aktorë të këqij.

Image
Image

Dhe nuk janë vetëm individët që mund të preken. Gjurmuesit janë të njohur me kompanitë, si dhe me qeverinë, ushtrinë dhe agjencitë e zbatimit të ligjit. Kjo i bëri studiuesit të ndajnë kërkimet e tyre me CISA pasi ajo nuk arriti të nxiste një përgjigje pozitive nga prodhuesi dhe furnizuesi me bazë në Kinë në Shenzhen të elektronikës dhe aksesorëve të automobilave.

Pasi CISA gjithashtu dështoi të merrte një përgjigje nga MiCODUS, agjencia mori përsipër të shtonte defektet në listën e Vulnerabiliteteve dhe Ekspozimeve të Përbashkëta (CVE) dhe u caktoi atyre një rezultat të Sistemit të Përbashkët të Vlerësimit të Vulnerabilitetit (CVSS). me disa prej tyre që fitojnë një rezultat kritik të ashpërsisë prej 9.8 nga 10.

Shfrytëzimi i këtyre dobësive do të mundësonte shumë skenarë të mundshëm sulmi, të cilët mund të kenë "implikime katastrofike dhe madje kërcënuese për jetën", theksojnë studiuesit në raport.

Trills të lira

Gjurmuesi GPS lehtësisht i shfrytëzueshëm thekson shumë nga rreziqet me gjeneratën aktuale të pajisjeve të Internetit të Gjërave (IoT), vërejnë studiuesit.

Roger Grimes, i tha Grimes Lifewire përmes emailit. “Telefoni juaj celular mund të komprometohet për të regjistruar bisedat tuaja. Webkamera e laptopit tuaj mund të aktivizohet për të regjistruar ju dhe takimet tuaja. Dhe pajisja gjurmuese GPS e makinës suaj mund të përdoret për të gjetur punonjës të veçantë dhe për të çaktivizuar automjete.”

Kërkuesit vërejnë se aktualisht, gjurmuesi GPS MiCODUS MV720 mbetet i prekshëm ndaj të metave të përmendura pasi shitësi nuk ka vënë në dispozicion një rregullim. Për shkak të kësaj, BitSight rekomandon që kushdo që përdor këtë gjurmues GPS ta çaktivizojë atë derisa të vihet në dispozicion një rregullim.

Bazuar mbi këtë, Grimes shpjegon se rregullimi paraqet një problem tjetër, pasi është veçanërisht e vështirë të instalosh rregullime softuerësh në pajisjet IoT. “Nëse mendoni se është e vështirë të rregulloni softuerin e zakonshëm, është dhjetë herë më e vështirë të rregulloni pajisjet IoT,” tha Grimes.

Në një botë ideale, të gjitha pajisjet IoT do të kenë korrigjimin automatik në mënyrë që të instalojnë automatikisht çdo përditësim. Por për fat të keq, Grimes thekson se shumica e pajisjeve IoT kërkojnë që njerëzit t'i përditësojnë ato manualisht, duke kaluar nëpër të gjitha llojet e lidhjeve, si p.sh. përdorimi i një lidhjeje fizike të papërshtatshme.

"Unë do të spekuloja se 90% e pajisjeve të cenueshme të gjurmimit GPS do të mbeten të cenueshme dhe të shfrytëzueshme nëse dhe kur shitësi vendos t'i rregullojë ato," tha Grimes. "Pajisjet IoT janë plot me dobësi, dhe kjo nuk do të ndryshimi duke shkuar në të ardhmen pa marrë parasysh se sa nga këto histori dalin.”

Recommended: