Было обнаружено, что популярный GPS-трекер, используемый в миллионах транспортных средств по всему миру, имеет несколько уязвимостей высокой степени серьезности, которые позволяют злоумышленникам отслеживать местоположение транспортных средств, полностью выключать транспортные средства, отключать топливо и управлять устройствами. удаленно.
Что еще хуже, производитель, похоже, вообще не заинтересован в исправлении недостатков.
А отчет (откроется в новой вкладке) BitSight заявила, что китайский GPS-трекер MiCODUS MV720 содержит шесть уязвимостей высокой степени серьезности. Теперь они отслеживаются как CVE-2022-2107; CVE-2022-2141; CVE-2022-2199; CVE-2022-34150; и CVE-2022-33944, одна из которых имеет оценку серьезности 9,8.
Основные недостатки
Добавление оскорбления к травме заключается в том, что недостатки не так уж сложно использовать. Педро Умбелино, главный исследователь безопасности BitSight, говорит, что компания обнаружила, что веб-интерфейс и мобильное приложение используют один и тот же пароль по умолчанию, в то время как GPS-трекер принимает определенные команды даже без аутентификации.
«Базовые недостатки в общей архитектуре системы этого поставщика вызывают серьезные вопросы об уязвимости других моделей», — заключил он.
Хуже всего то, что производитель, похоже, не очень заинтересован в том, чтобы затыкать эти дыры. BitSight заявляет, что связалась с компанией, но ее предупреждения остались без внимания: «BitSight поделилась своим исследованием с Агентством кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности США, когда его усилия по раскрытию уязвимостей для MiCODUS были проигнорированы», — говорится в сообщении. говорится в отчете.
Компания пришла к выводу, что до тех пор, пока производитель не устранит проблемы, предприятиям и частным лицам следует прекратить использование GPS-трекера MiCODUS MV720, поскольку риск слишком велик. По утверждению BitSight, сейчас у MiCODUS более 420 000 клиентов, включая правительство, военные, правоохранительные органы и компании из списка Fortune 1000.
«Если Китай может дистанционно управлять транспортными средствами в Соединенных Штатах, у нас есть проблема», — сказал Ричард Кларк, всемирно известный эксперт по национальной безопасности и бывший советник президента по кибербезопасности.
«С быстрым ростом внедрения мобильных устройств и желанием нашего общества быть более связанными легко упустить из виду тот факт, что устройства GPS-слежения, такие как эти, могут значительно увеличить кибер-риск, если они не созданы с учетом безопасности. Результаты исследования BitSight подчеркивают, что наличие безопасной инфраструктуры IoT еще более важно, когда эти уязвимости могут быть легко использованы, чтобы повлиять на нашу личную и национальную безопасность и привести к экстремальным последствиям, таким как крупномасштабное прерывание управления автопарком и даже гибель людей».
