Sleutel wegneemetes
- Navorsers het kritieke kwesbaarhede ontdek in 'n gewilde GPS-spoorsnyer wat in miljoene voertuie gebruik word.
- Die foute bly nie reggemaak nie, aangesien die vervaardiger versuim het om met die navorsers en selfs die Cybersecurity and Infrastructure Security Agency (CISA) te skakel.
- Dit is net 'n fisiese manifestasie van 'n probleem onderliggend aan die hele slimtoestel-ekosisteem, stel sekuriteitskenners voor.
Sekuriteitsnavorsers het ernstige kwesbaarhede in 'n gewilde GPS-spoorsnyer ontdek wat in meer as 'n miljoen voertuie regoor die wêreld gebruik word.
Volgens die navorsers met die sekuriteitsverkoper BitSight, as dit uitgebuit word, kan die ses kwesbaarhede in die MiCODUS MV720 voertuig GPS-spoorsnyer bedreigingsakteurs in staat stel om toegang tot die funksies van die toestel te verkry en dit te beheer, insluitend om die voertuig op te spoor of die brandstof daarvan af te sny verskaf. Terwyl sekuriteitskenners kommer uitgespreek het oor die lakse sekuriteit in slim, internet-geaktiveerde toestelle in die algemeen, is die BitSight-navorsing veral kommerwekkend vir beide ons privaatheid en veiligheid.
“Ongelukkig is hierdie kwesbaarhede nie moeilik om te ontgin nie,” het Pedro Umbelino, hoofsekuriteitsnavorser by BitSight, in 'n persverklaring opgemerk. “Basiese gebreke in hierdie verskaffer se algehele stelselargitektuur laat beduidende vrae ontstaan oor die kwesbaarheid van ander modelle.”
Afstandbeheer
In die verslag sê BitSight dat dit die MV720 ingestel het, aangesien dit die maatskappy se goedkoopste model was wat diefstal-, brandstofafsny-, afstandbeheer- en geo-omheiningsvermoëns bied. Die sellulêr-geaktiveerde spoorsnyer gebruik 'n SIM-kaart om sy status- en liggingopdaterings na ondersteunende bedieners te stuur en is ontwerp om opdragte van sy wettige eienaars per SMS te ontvang.
BitSight beweer dit het die kwesbaarhede sonder veel moeite ontdek. Dit het selfs bewys van konsep-kode (PoCs) vir vyf van die foute ontwikkel om te demonstreer dat die kwesbaarhede in die natuur deur slegte akteurs uitgebuit kan word.
En dit is nie net individue wat geraak kan word nie. Die spoorsnyers is gewild by maatskappye sowel as by regerings-, militêre- en wetstoepassingsagentskappe. Dit het daartoe gelei dat die navorsers hul navorsing met die CISA deel nadat dit nie daarin geslaag het om 'n positiewe reaksie van die Shenzhen, China-gebaseerde vervaardiger en verskaffer van motorelektronika en -bykomstighede te ontlok nie.
Nadat die CISA ook nie 'n antwoord van MiCODUS gekry het nie, het die agentskap dit op homself geneem om die foute by die algemene kwesbaarhede en blootstellings (CVE)-lys te voeg en 'n algemene kwesbaarheidtellingstelsel (CVSS)-telling aan hulle toegeken, met 'n paar van hulle wat 'n kritieke ernstelling van 9 verdien.8 uit 10.
Die uitbuiting van hierdie kwesbaarhede sal vir baie moontlike aanvalscenario's voorsiening maak, wat "rampspoedige en selfs lewensgevaarlike implikasies kan hê," merk die navorsers in die verslag op.
Cheap Thrills
Die maklik ontginbare GPS-spoorsnyer beklemtoon baie van die risiko's met die huidige generasie Internet of Things (IoT)-toestelle, let op die navorsers.
Roger Grimes, het Grimes per e-pos aan Lifewire gesê. “Jou selfoon kan gekompromitteer word om jou gesprekke op te neem. Jou skootrekenaar se webkamera kan aangeskakel word om jou en jou vergaderings op te neem. En jou motor se GPS-opsporingstoestel kan gebruik word om spesifieke werknemers te vind en voertuie uit te skakel.”
Die navorsers neem kennis dat die MiCODUS MV720 GPS-spoorsnyer tans kwesbaar bly vir die genoemde foute aangesien die verkoper nie 'n oplossing beskikbaar gestel het nie. As gevolg hiervan beveel BitSight aan dat enigiemand wat hierdie GPS-spoorsnyer gebruik dit deaktiveer totdat 'n oplossing beskikbaar gestel word.
Bou hierop voort, verduidelik Grimes dat regstelling nog 'n probleem bied, aangesien dit besonder moeilik is om sagteware-oplossings op IoT-toestelle te installeer. “As jy dink dit is moeilik om gewone sagteware te lap, is dit tien keer so moeilik om IoT-toestelle te lap,” het Grimes gesê.
In 'n ideale wêreld sal alle IoT-toestelle outo-patching hê om enige opdaterings outomaties te installeer. Maar ongelukkig wys Grimes daarop dat die meeste IoT-toestelle vereis dat mense dit handmatig opdateer, deur allerhande hoepels te spring, soos om 'n ongerieflike fisiese verbinding te gebruik.
"Ek sou spekuleer dat 90% van kwesbare GPS-opsporingstoestelle kwesbaar en uitbuitbaar sal bly as en wanneer die verkoper werklik besluit om dit reg te stel," het Grimes gesê. "IoT-toestelle is vol kwesbaarhede, en dit sal nie verander in die toekoms, maak nie saak hoeveel van hierdie stories uitkom nie.”
