Belangrijkste afhaalrestaurants
- Onderzoekers hebben kritieke kwetsbaarheden ontdekt in een populaire GPS-tracker die in miljoenen voertuigen wordt gebruikt.
- De bugs blijven ongepatcht omdat de fabrikant er niet in is geslaagd om met de onderzoekers en zelfs de Cybersecurity and Infrastructure Security Agency (CISA) in contact te komen.
- Dit is slechts een fysieke manifestatie van een probleem dat ten grondslag ligt aan het hele ecosysteem van slimme apparaten, suggereren beveiligingsexperts.
Beveiligingsonderzoekers hebben ernstige kwetsbaarheden ontdekt in een populaire GPS-tracker die in meer dan een miljoen voertuigen over de hele wereld wordt gebruikt.
Volgens de onderzoekers van beveiligingsleverancier BitSight kunnen de zes kwetsbaarheden in de MiCODUS MV720 voertuig-gps-tracker, indien misbruikt, bedreigingsactoren in staat stellen toegang te krijgen tot de functies van het apparaat en deze te controleren, waaronder het volgen van het voertuig of het afsnijden van de brandstof levering. Hoewel beveiligingsexperts hun bezorgdheid hebben geuit over de lakse beveiliging van slimme apparaten met internettoegang in het algemeen, is het BitSight-onderzoek bijzonder zorgwekkend voor zowel onze privacy als onze veiligheid.
"Helaas zijn deze kwetsbaarheden niet moeilijk te misbruiken", merkte Pedro Umbelino, hoofdonderzoeker op het gebied van beveiliging bij BitSight, op in een persbericht. "Basisfouten in de algehele systeemarchitectuur van deze leverancier roepen belangrijke vragen op over de kwetsbaarheid van andere modellen."
Afstandsbediening
In het rapport zegt BitSight dat het op de MV720 is gericht, omdat het het goedkoopste model van het bedrijf was dat antidiefstal-, brandstofafsluitings-, afstandsbedienings- en geofencing-mogelijkheden biedt. De mobiele tracker gebruikt een simkaart om de status- en locatie-updates naar ondersteunende servers te verzenden en is ontworpen om via sms opdrachten van de legitieme eigenaren te ontvangen.
BitSight beweert dat het de kwetsbaarheden zonder veel moeite heeft ontdekt. Het ontwikkelde zelfs proof of concept (PoC's) code voor vijf van de fouten om aan te tonen dat de kwetsbaarheden in het wild kunnen worden uitgebuit door kwaadwillenden.
En het zijn niet alleen individuen die kunnen worden getroffen. De trackers zijn populair bij bedrijven, maar ook bij de overheid, het leger en wetshandhavingsinstanties. Dit bracht de onderzoekers ertoe hun onderzoek met de CISA te delen nadat het geen positieve reactie had uitgelokt van de in Shenzhen, China gevestigde fabrikant en leverancier van auto-elektronica en accessoires.
Nadat de CISA ook geen reactie van MiCODUS had gekregen, nam het bureau het op zich om de bugs toe te voegen aan de lijst met veelvoorkomende kwetsbaarheden en blootstellingen (CVE) en kende het een Common Vulnerability Scoring System (CVSS) -score toe, met een paar van hen die een kritieke ernstscore van 9 behalen.8 van de 10.
De exploitatie van deze kwetsbaarheden zou veel mogelijke aanvalsscenario's mogelijk maken, die "rampzalige en zelfs levensbedreigende implicaties" zouden kunnen hebben, merken de onderzoekers in het rapport op.
Goedkope sensatie
De gemakkelijk te exploiteren GPS-tracker benadrukt veel van de risico's van de huidige generatie Internet of Things (IoT)-apparaten, merken de onderzoekers op.
Roger Grimes, vertelde Grimes via e-mail aan Lifewire. “Je mobiele telefoon kan worden gecompromitteerd om je gesprekken op te nemen. De webcam van uw laptop kan worden ingeschakeld om u en uw vergaderingen op te nemen. En het GPS-volgsysteem van uw auto kan worden gebruikt om specifieke werknemers te vinden en voertuigen uit te schakelen.”
De onderzoekers merken op dat de MiCODUS MV720 GPS-tracker momenteel kwetsbaar blijft voor de genoemde gebreken, aangezien de leverancier geen oplossing beschikbaar heeft gesteld. Daarom raadt BitSight aan dat iedereen die deze GPS-tracker gebruikt deze uitschakelt totdat er een oplossing beschikbaar is.
Hierop voortbouwend, legt Grimes uit dat patching een ander probleem vormt, omdat het bijzonder moeilijk is om softwarefixes op IoT-apparaten te installeren. "Als je denkt dat het moeilijk is om reguliere software te patchen, is het tien keer zo moeilijk om IoT-apparaten te patchen", zegt Grimes.
In een ideale wereld zouden alle IoT-apparaten auto-patching hebben om updates automatisch te installeren. Maar helaas wijst Grimes erop dat de meeste IoT-apparaten vereisen dat mensen ze handmatig bijwerken, waarbij ze door allerlei hoepels springen, zoals het gebruik van een onhandige fysieke verbinding.
"Ik vermoed dat 90% van de kwetsbare GPS-trackingapparatuur kwetsbaar en exploiteerbaar zal blijven als en wanneer de leverancier besluit ze te repareren", aldus Grimes. "IoT-apparaten zitten vol kwetsbaarheden, en dit zal niet verandering in de toekomst, hoeveel van deze verhalen er ook uitkomen.”
