موارد مهم
- محققان آسیبپذیریهای مهمی را در یک ردیاب GPS محبوب که در میلیونها وسیله نقلیه استفاده میشود کشف کردهاند.
- از آنجایی که سازنده نتوانسته است با محققان و حتی آژانس امنیت سایبری و امنیت زیرساخت (CISA) تعامل داشته باشد، اشکالات اصلاح نشده باقی می مانند.
- ، کارشناسان امنیتی پیشنهاد می کنند، این فقط یک تظاهر فیزیکی از مشکلی است که در زیربنای کل اکوسیستم دستگاه هوشمند وجود دارد.
محققان امنیتی آسیبپذیریهای جدی را در یک ردیاب GPS محبوب که در بیش از یک میلیون وسیله نقلیه در سراسر جهان استفاده میشود، کشف کردهاند.
طبق گفته محققان با فروشنده امنیتی BitSight، در صورت سوء استفاده، شش آسیبپذیری موجود در ردیاب GPS خودرو MiCODUS MV720 میتواند عاملان تهدید را قادر به دسترسی و کنترل عملکردهای دستگاه، از جمله ردیابی خودرو یا قطع سوخت آن کند. عرضه. در حالی که کارشناسان امنیتی نگرانی خود را در مورد امنیت ضعیف در دستگاه های هوشمند و مجهز به اینترنت به طور کلی ابراز کرده اند، تحقیقات BitSight به ویژه برای حریم خصوصی و ایمنی ما نگران کننده است.
پدرو آمبلینو، محقق امنیتی اصلی BitSight، در یک بیانیه مطبوعاتی خاطرنشان کرد: «متاسفانه، سوء استفاده از این آسیبپذیریها دشوار نیست. "نقص اساسی در معماری کلی سیستم این فروشنده سوالات مهمی را در مورد آسیب پذیری سایر مدل ها ایجاد می کند."
کنترل از راه دور
در این گزارش، BitSight می گوید که MV720 را به صفر رسانده است زیرا این مدل ارزان ترین مدل این شرکت است که دارای قابلیت های ضد سرقت، قطع سوخت، کنترل از راه دور و قابلیت های geofencing است.ردیاب فعال سلولی از یک سیم کارت برای انتقال بهروزرسانیهای وضعیت و موقعیت مکانی خود به سرورهای پشتیبانی کننده استفاده میکند و برای دریافت دستورات از صاحبان قانونی خود از طریق پیام کوتاه طراحی شده است.
BitSight ادعا می کند که این آسیب پذیری ها را بدون تلاش زیاد کشف کرده است. حتی کد اثبات مفهومی (PoCs) را برای پنج مورد از نقص ها ایجاد کرد تا نشان دهد که آسیب پذیری ها می توانند در طبیعت توسط بازیگران بد مورد سوء استفاده قرار گیرند.
و این فقط افراد نیستند که می توانند تحت تأثیر قرار گیرند. ردیابها در بین شرکتها و همچنین در بین سازمانهای دولتی، نظامی و مجری قانون محبوب هستند. این امر باعث شد که محققان تحقیقات خود را با CISA به اشتراک بگذارند، زیرا نتوانست پاسخ مثبتی را از سوی سازنده و تامین کننده لوازم الکترونیکی خودرو در شنژن در چین دریافت کند.
بعد از اینکه CISA نیز نتوانست پاسخی از MiCODUS دریافت کند، آژانس بر عهده گرفت تا باگها را به لیست آسیبپذیریها و مواجهههای رایج (CVE) اضافه کند و امتیاز سیستم امتیازدهی آسیبپذیری مشترک (CVSS) را به آنها اختصاص دهد. با چند نفر از آنها نمره شدت بحرانی 9 کسب کردند.8 از 10.
استفاده از این آسیبپذیریها امکان بسیاری از سناریوهای حمله احتمالی را فراهم میکند، که میتواند «پیامدهای فاجعهبار و حتی تهدیدکننده زندگی» داشته باشد..
هیجانات ارزان
به گفته محققان، ردیاب GPS که به راحتی قابل بهره برداری است، بسیاری از خطرات نسل فعلی دستگاه های اینترنت اشیاء (IoT) را برجسته می کند.
راجر گرایمز، گریمز از طریق ایمیل به Lifewire گفت. «تلفن همراه شما ممکن است برای ضبط مکالمات شما به خطر بیفتد. وب کم لپ تاپ شما می تواند برای ضبط شما و جلسات شما روشن شود. و دستگاه ردیابی GPS خودروی شما را می توان برای یافتن کارمندان خاص و غیرفعال کردن وسایل نقلیه استفاده کرد.»
محققان خاطرنشان می کنند که در حال حاضر، ردیاب GPS MiCODUS MV720 همچنان در برابر نقص های ذکر شده آسیب پذیر است زیرا فروشنده راه حلی برای آن ارائه نکرده است. به همین دلیل، BitSight توصیه میکند که هر کسی که از این ردیاب GPS استفاده میکند، آن را تا زمانی که مشکلی در دسترس نیست، غیرفعال کند.
با توجه به این موضوع، گریمز توضیح می دهد که وصله مشکل دیگری ایجاد می کند، زیرا نصب اصلاحات نرم افزاری بر روی دستگاه های اینترنت اشیا بسیار دشوار است. گریمز میگوید: «اگر فکر میکنید وصله کردن نرمافزارهای معمولی سخت است، وصله کردن دستگاههای IoT ده برابر سختتر است.»
در یک دنیای ایده آل، همه دستگاه های اینترنت اشیا به منظور نصب خودکار هر به روز رسانی، دارای وصله خودکار هستند. اما متأسفانه، گریمز خاطرنشان میکند که اکثر دستگاههای اینترنت اشیا از مردم میخواهند که بهطور دستی آنها را بهروزرسانی کنند و از انواع حلقهها مانند استفاده از یک اتصال فیزیکی نامناسب استفاده کنند.
من حدس می زنم که 90٪ از دستگاه های ردیابی GPS آسیب پذیر در صورت و زمانی که فروشنده واقعا تصمیم به رفع آنها بگیرد، آسیب پذیر و قابل بهره برداری باقی می مانند. تغییر در آینده بدون توجه به تعداد زیادی از این داستان ها منتشر می شود.»
