Neopravené bezpečnostní chyby GPS Trackeru ohrožují 1,5 milionu vozidel

Široce používané GPS sledovače vozidel od společnosti Micodus jsou ovlivněny kritickými zranitelnostmi, které mohou hackeři zneužít k pronásledování lidí a vzdálené deaktivaci aut.

27. 7. 2022

Podle nového výzkumu lze bezpečnostní zranitelnosti v populárním čínském GPS sledovači vozidel snadno zneužít ke sledování a vzdálenému vypnutí motorů nejméně milionu vozidel po celém světě. Společnost, která GPS trackery vyrábí, se však nijak nesnažila je opravit.

Vyplývá to z výzkumu kybernetické bezpečnostní firmy BitSight, která uvedla, že zařízení MiCODUS MV720 má zranitelnosti jak v zařízení, tak v back-endové službě. Ty otevírají cestu pro útoky typu man-in-the-middle (MitM), obcházení autentizace a sledování polohy. Mezi chyby zabezpečení patří pevně zakódované heslo zařízení, které umožňuje přístup prostřednictvím požadavků SMS, a výchozí heslo na serveru API.

Šest zranitelností v zařízení MV720, které dnes používá více než 1,5 milionu GPS trackerů u více než 420 000 zákazníků po celém světě, včetně společností s vozovými parky, orgány činné v trestním řízení, armády a národní vlády, lze snadno i na dálku zneužít ke sledování jakéhokoli vozidla v reálném čase, přístupu k minulým trasám a vypnutí motorů vozidel v pohybu. Všechny zranitelnosti až na jednu jsou hodnoceny jako „vysoké“ nebo vyšší. Některé z chyb jsou v samotném GPS trackeru, zatímco jiné jsou ve webovém panelu, který zákazníci používají ke sledování svých vozových parků.

Vzhledem k závažnosti chyb a tomu, že neexistují žádné opravy, BitSight i CISA, americká vládní poradenská agentura pro kybernetickou bezpečnost, varovaly majitele vozidel, aby zařízení co nejdříve odstranili, aby se zmírnilo riziko.

GPS trackery MiCODUS používají podniky a jednotlivci ve 169 zemích:

bezpečnostní chyby GPS Trackeru

Výzkum také zjistil, že GPS tracker je dodáván s výchozím heslem „123456“, což umožňuje komukoli přístup k GPS trackerům, kteří si nezměnili heslo svého zařízení. Dle firmy BitSight bylo 95 % ze vzorku 1 000 testovaných zařízení přístupných s nezměněným výchozím heslem.

BitSight kontaktoval MiCODUS už v září loňského roku, firma ale nepřinesla řešení a vyhýbá se komunikaci.

Dokud lidé nezačnou porovnávat přístroje nejen podle ceny, ale i podle bezpečnosti a kvality, budou IoT přístroje tikat jako bomby.

Zdroje

https://www.root.cz/clanky/postrehy-z-bezpecnosti-zranitelnosti-v-lokalizacnich-zarizenich/

https://www.darkreading.com/iot/unpatched-gps-tracker-security-bugs-disruption

https://www.securityweek.com/unpatched-micodus-gps-tracker-vulnerabilities-allow-hackers-remotely-disable-cars

zpět

VISITECH a.s. je stabilní partner a odborník v oblasti kybernetické bezpečnosti a IT infrastruktury, informačních systémů a sítí firem a organizací. Jsme přední společností v oblasti skutečné kybernetické bezpečnosti.

KONTAKT

Košinova 655/59
612 00 Brno

info@visitech.cz
+420 538 700 880

IČ: 255 43 415
DIČ: CZ 255 43 415

vedený u Krajského soudu v Brně oddíl B,
vložka 6323

POBOČKY

Praha 4, Michle
Ohradní 1394/61
+420 274 776 890

KANCELÁŘ

Ostrava - Vítkovice
Ruská 83/24
+420 597 317 377

VISITECH a.s. 2021 © Všechna práva vyhrazena

Vectors by Vecteezy & Freepik.