محققان نشان می دهند که ردیاب محبوب GPS در برابر هکرها آسیب پذیر است

فهرست مطالب:

محققان نشان می دهند که ردیاب محبوب GPS در برابر هکرها آسیب پذیر است
محققان نشان می دهند که ردیاب محبوب GPS در برابر هکرها آسیب پذیر است
Anonim

موارد مهم

  • محققان آسیب‌پذیری‌های مهمی را در یک ردیاب GPS محبوب که در میلیون‌ها وسیله نقلیه استفاده می‌شود کشف کرده‌اند.
  • از آنجایی که سازنده نتوانسته است با محققان و حتی آژانس امنیت سایبری و امنیت زیرساخت (CISA) تعامل داشته باشد، اشکالات اصلاح نشده باقی می مانند.
  • ، کارشناسان امنیتی پیشنهاد می کنند، این فقط یک تظاهر فیزیکی از مشکلی است که در زیربنای کل اکوسیستم دستگاه هوشمند وجود دارد.
Image
Image

محققان امنیتی آسیب‌پذیری‌های جدی را در یک ردیاب GPS محبوب که در بیش از یک میلیون وسیله نقلیه در سراسر جهان استفاده می‌شود، کشف کرده‌اند.

طبق گفته محققان با فروشنده امنیتی BitSight، در صورت سوء استفاده، شش آسیب‌پذیری موجود در ردیاب GPS خودرو MiCODUS MV720 می‌تواند عاملان تهدید را قادر به دسترسی و کنترل عملکردهای دستگاه، از جمله ردیابی خودرو یا قطع سوخت آن کند. عرضه. در حالی که کارشناسان امنیتی نگرانی خود را در مورد امنیت ضعیف در دستگاه های هوشمند و مجهز به اینترنت به طور کلی ابراز کرده اند، تحقیقات BitSight به ویژه برای حریم خصوصی و ایمنی ما نگران کننده است.

پدرو آمبلینو، محقق امنیتی اصلی BitSight، در یک بیانیه مطبوعاتی خاطرنشان کرد: «متاسفانه، سوء استفاده از این آسیب‌پذیری‌ها دشوار نیست. "نقص اساسی در معماری کلی سیستم این فروشنده سوالات مهمی را در مورد آسیب پذیری سایر مدل ها ایجاد می کند."

کنترل از راه دور

در این گزارش، BitSight می گوید که MV720 را به صفر رسانده است زیرا این مدل ارزان ترین مدل این شرکت است که دارای قابلیت های ضد سرقت، قطع سوخت، کنترل از راه دور و قابلیت های geofencing است.ردیاب فعال سلولی از یک سیم کارت برای انتقال به‌روزرسانی‌های وضعیت و موقعیت مکانی خود به سرورهای پشتیبانی کننده استفاده می‌کند و برای دریافت دستورات از صاحبان قانونی خود از طریق پیام کوتاه طراحی شده است.

BitSight ادعا می کند که این آسیب پذیری ها را بدون تلاش زیاد کشف کرده است. حتی کد اثبات مفهومی (PoCs) را برای پنج مورد از نقص ها ایجاد کرد تا نشان دهد که آسیب پذیری ها می توانند در طبیعت توسط بازیگران بد مورد سوء استفاده قرار گیرند.

Image
Image

و این فقط افراد نیستند که می توانند تحت تأثیر قرار گیرند. ردیاب‌ها در بین شرکت‌ها و همچنین در بین سازمان‌های دولتی، نظامی و مجری قانون محبوب هستند. این امر باعث شد که محققان تحقیقات خود را با CISA به اشتراک بگذارند، زیرا نتوانست پاسخ مثبتی را از سوی سازنده و تامین کننده لوازم الکترونیکی خودرو در شنژن در چین دریافت کند.

بعد از اینکه CISA نیز نتوانست پاسخی از MiCODUS دریافت کند، آژانس بر عهده گرفت تا باگ‌ها را به لیست آسیب‌پذیری‌ها و مواجهه‌های رایج (CVE) اضافه کند و امتیاز سیستم امتیازدهی آسیب‌پذیری مشترک (CVSS) را به آنها اختصاص دهد. با چند نفر از آنها نمره شدت بحرانی 9 کسب کردند.8 از 10.

استفاده از این آسیب‌پذیری‌ها امکان بسیاری از سناریوهای حمله احتمالی را فراهم می‌کند، که می‌تواند «پیامدهای فاجعه‌بار و حتی تهدیدکننده زندگی» داشته باشد..

هیجانات ارزان

به گفته محققان، ردیاب GPS که به راحتی قابل بهره برداری است، بسیاری از خطرات نسل فعلی دستگاه های اینترنت اشیاء (IoT) را برجسته می کند.

راجر گرایمز، گریمز از طریق ایمیل به Lifewire گفت. «تلفن همراه شما ممکن است برای ضبط مکالمات شما به خطر بیفتد. وب کم لپ تاپ شما می تواند برای ضبط شما و جلسات شما روشن شود. و دستگاه ردیابی GPS خودروی شما را می توان برای یافتن کارمندان خاص و غیرفعال کردن وسایل نقلیه استفاده کرد.»

محققان خاطرنشان می کنند که در حال حاضر، ردیاب GPS MiCODUS MV720 همچنان در برابر نقص های ذکر شده آسیب پذیر است زیرا فروشنده راه حلی برای آن ارائه نکرده است. به همین دلیل، BitSight توصیه می‌کند که هر کسی که از این ردیاب GPS استفاده می‌کند، آن را تا زمانی که مشکلی در دسترس نیست، غیرفعال کند.

با توجه به این موضوع، گریمز توضیح می دهد که وصله مشکل دیگری ایجاد می کند، زیرا نصب اصلاحات نرم افزاری بر روی دستگاه های اینترنت اشیا بسیار دشوار است. گریمز می‌گوید: «اگر فکر می‌کنید وصله کردن نرم‌افزارهای معمولی سخت است، وصله کردن دستگاه‌های IoT ده برابر سخت‌تر است.»

در یک دنیای ایده آل، همه دستگاه های اینترنت اشیا به منظور نصب خودکار هر به روز رسانی، دارای وصله خودکار هستند. اما متأسفانه، گریمز خاطرنشان می‌کند که اکثر دستگاه‌های اینترنت اشیا از مردم می‌خواهند که به‌طور دستی آنها را به‌روزرسانی کنند و از انواع حلقه‌ها مانند استفاده از یک اتصال فیزیکی نامناسب استفاده کنند.

من حدس می زنم که 90٪ از دستگاه های ردیابی GPS آسیب پذیر در صورت و زمانی که فروشنده واقعا تصمیم به رفع آنها بگیرد، آسیب پذیر و قابل بهره برداری باقی می مانند. تغییر در آینده بدون توجه به تعداد زیادی از این داستان ها منتشر می شود.»

توصیه شده: