Các nhà nghiên cứu cho thấy Trình theo dõi GPS phổ biến dễ bị tin tặc tấn công

Mục lục:

Các nhà nghiên cứu cho thấy Trình theo dõi GPS phổ biến dễ bị tin tặc tấn công
Các nhà nghiên cứu cho thấy Trình theo dõi GPS phổ biến dễ bị tin tặc tấn công
Anonim

Bài học rút ra chính

  • Các nhà nghiên cứu đã phát hiện ra các lỗ hổng nghiêm trọng trong một thiết bị theo dõi GPS phổ biến được sử dụng trên hàng triệu phương tiện.
  • Các lỗi vẫn chưa được vá vì nhà sản xuất đã không tham gia với các nhà nghiên cứu và thậm chí là Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA).
  • Đây chỉ là biểu hiện vật lý của một vấn đề nằm trong toàn bộ hệ sinh thái thiết bị thông minh, đề nghị các chuyên gia bảo mật.
Image
Image

Các nhà nghiên cứu bảo mật đã phát hiện ra các lỗ hổng nghiêm trọng trong một thiết bị theo dõi GPS phổ biến được sử dụng trên một triệu phương tiện trên khắp thế giới.

Theo các nhà nghiên cứu của nhà cung cấp bảo mật BitSight, nếu bị khai thác, sáu lỗ hổng trong thiết bị theo dõi GPS trên xe MiCODUS MV720 có thể cho phép các tác nhân đe dọa truy cập và kiểm soát các chức năng của thiết bị, bao gồm theo dõi phương tiện hoặc cắt nhiên liệu của nó cung cấp. Mặc dù các chuyên gia bảo mật đã lên tiếng lo ngại về tính bảo mật lỏng lẻo trong các thiết bị thông minh, có hỗ trợ Internet, nhưng nghiên cứu của BitSight đặc biệt đáng lo ngại đối với cả quyền riêng tư và sự an toàn của chúng tôi.

“Thật không may, những lỗ hổng này không khó khai thác,” Pedro Umbelino, nhà nghiên cứu bảo mật chính tại BitSight, lưu ý trong một thông cáo báo chí. “Những sai sót cơ bản trong kiến trúc hệ thống tổng thể của nhà cung cấp này đặt ra câu hỏi đáng kể về lỗ hổng của các mô hình khác."

Điều khiển từ xa

Trong báo cáo, BitSight cho biết họ đã sử dụng MV720 vì đây là mẫu xe rẻ nhất của công ty cung cấp khả năng chống trộm, cắt nhiên liệu, điều khiển từ xa và định vị địa lý. Trình theo dõi hỗ trợ di động sử dụng thẻ SIM để truyền thông tin cập nhật về trạng thái và vị trí của nó tới các máy chủ hỗ trợ và được thiết kế để nhận lệnh từ chủ sở hữu hợp pháp của nó qua SMS.

BitSight tuyên bố họ đã phát hiện ra các lỗ hổng mà không cần nỗ lực nhiều. Nó thậm chí còn phát triển mã bằng chứng khái niệm (PoC) cho năm lỗ hổng để chứng minh rằng các lỗ hổng có thể bị khai thác trong tự nhiên bởi các tác nhân xấu.

Image
Image

Và không chỉ những cá nhân có thể bị ảnh hưởng. Trình theo dõi phổ biến với các công ty cũng như các cơ quan chính phủ, quân đội và cơ quan thực thi pháp luật. Điều này khiến các nhà nghiên cứu chia sẻ nghiên cứu của họ với CISA sau khi nó không thu hút được phản ứng tích cực từ nhà sản xuất và cung cấp phụ kiện và điện tử ô tô có trụ sở tại Thâm Quyến, Trung Quốc.

Sau khi CISA cũng không nhận được phản hồi từ MiCODUS, cơ quan này đã tự mình bổ sung các lỗi vào danh sách Các lỗ hổng và Mức độ Phơi nhiễm Phổ biến (CVE) và gán cho họ điểm Hệ thống Chấm điểm Lỗ hổng Chung (CVSS), với một vài người trong số họ đạt điểm nghiêm trọng quan trọng là 9.8 trên 10.

Việc khai thác các lỗ hổng này sẽ cho phép nhiều trường hợp tấn công có thể xảy ra, có thể gây ra “hậu quả tai hại và thậm chí đe dọa tính mạng”, các nhà nghiên cứu lưu ý trong báo cáo.

Cảm giác mạnhRẻ

Trình theo dõi GPS có thể khai thác dễ dàng nêu bật nhiều rủi ro với thế hệ thiết bị Internet vạn vật (IoT) hiện tại, các nhà nghiên cứu lưu ý.

Roger Grimes, Grimes nói với Lifewire qua email. “Điện thoại di động của bạn có thể bị xâm phạm để ghi lại các cuộc trò chuyện của bạn. Webcam trên máy tính xách tay của bạn có thể được bật để ghi lại bạn và các cuộc họp của bạn. Và thiết bị theo dõi GPS trên ô tô của bạn có thể được sử dụng để tìm nhân viên cụ thể và vô hiệu hóa các phương tiện.”

Các nhà nghiên cứu lưu ý rằng hiện tại, thiết bị theo dõi GPS MiCODUS MV720 vẫn dễ bị ảnh hưởng bởi các lỗi đã đề cập vì nhà cung cấp chưa đưa ra bản sửa lỗi. Do đó, BitSight khuyến nghị bất kỳ ai sử dụng thiết bị theo dõi GPS này nên tắt nó cho đến khi có bản sửa lỗi.

Xây dựng trên cơ sở này, Grimes giải thích việc vá lỗi lại xuất hiện một vấn đề khác, vì nó đặc biệt khó cài đặt các bản sửa lỗi phần mềm trên các thiết bị IoT. Grimes nói: “Nếu bạn nghĩ rằng việc vá phần mềm thông thường khó gấp mười lần thì việc vá các thiết bị IoT khó gấp mười lần.

Trong một thế giới lý tưởng, tất cả các thiết bị IoT sẽ có tính năng tự động vá lỗi để tự động cài đặt bất kỳ bản cập nhật nào. Nhưng thật không may, Grimes chỉ ra rằng hầu hết các thiết bị IoT đều yêu cầu mọi người cập nhật chúng theo cách thủ công, vượt qua tất cả các loại vòng lặp như sử dụng kết nối vật lý bất tiện.

"Tôi suy đoán rằng 90% các thiết bị theo dõi GPS dễ bị tổn thương sẽ vẫn dễ bị tổn thương và có thể bị khai thác nếu và khi nhà cung cấp thực sự quyết định sửa chúng", Grimes nói. "Các thiết bị IoT có đầy lỗ hổng và điều này sẽ không thay đổi trong tương lai cho dù có bao nhiêu câu chuyện trong số này xuất hiện.”

Đề xuất: