Asosiy takliflar
- Tadqiqotchilar millionlab avtomobillarda ishlatiladigan mashhur GPS kuzatuvchisida muhim zaifliklarni aniqladilar.
- Xatolar tuzatilmagan, chunki ishlab chiqaruvchi tadqiqotchilar va hatto Kiberxavfsizlik va infratuzilma xavfsizligi agentligi (CISA) bilan aloqa oʻrnatolmagan.
- Bu butun aqlli qurilma ekotizimiga taalluqli muammoning jismoniy koʻrinishi, xavfsizlik boʻyicha mutaxassislar tavsiya qiladi.
Xavfsizlik boʻyicha tadqiqotchilar butun dunyo boʻylab milliondan ortiq avtomobillarda qoʻllaniladigan mashhur GPS kuzatuvchisida jiddiy zaifliklarni aniqlashdi.
Xavfsizlik sotuvchisi BitSight tadqiqotchilarining fikriga ko'ra, agar foydalanilsa, MiCODUS MV720 avtomobil GPS-trekeridagi oltita zaiflik tahdid qiluvchi shaxslarga qurilmaning funksiyalariga kirish va ularni boshqarish, jumladan, transport vositasini kuzatish yoki yoqilg'ini o'chirish imkonini beradi. ta'minlash. Xavfsizlik bo'yicha mutaxassislar aqlli, internetga ulangan qurilmalarda xavfsizlikning zaifligi haqida xavotir bildirishsa-da, BitSight tadqiqoti bizning maxfiyligimiz va xavfsizligimiz uchun ayniqsa tashvish uyg'otadi.
“Afsuski, bu zaifliklardan foydalanish qiyin emas”, dedi BitSight’ning xavfsizlik boʻyicha bosh tadqiqotchisi Pedro Umbelino press-relizda. “Ushbu sotuvchining umumiy tizim arxitekturasidagi asosiy kamchiliklar boshqa modellarning zaifligi haqida jiddiy savollar tug‘diradi.”
Masofadan boshqarish pulti
Hisobotda BitSight kompaniyasining ta'kidlashicha, u MV720-ni nolga tenglashtirgan, chunki u kompaniyaning eng arzon modeli bo'lib, o'g'irlikka qarshi, yoqilg'ini o'chirish, masofadan boshqarish va geofencing imkoniyatlarini taqdim etadi. Uyali aloqani yoqadigan kuzatuvchi oʻzining holati va joylashuvi haqidagi yangilanishlarni qoʻllab-quvvatlovchi serverlarga uzatish uchun SIM kartadan foydalanadi va uning qonuniy egalaridan SMS orqali buyruqlar olish uchun moʻljallangan.
BitSight zaifliklarni ko'p harakat qilmasdan aniqlaganini da'vo qilmoqda. U hatto zaifliklardan yomon aktyorlar tomonidan yovvoyi tabiatda foydalanishi mumkinligini ko'rsatish uchun beshta kamchiliklar uchun kontseptsiya isboti (PoCs) kodini ishlab chiqdi.
Va nafaqat odamlar ta'sir qilishi mumkin. Kuzatuvchilar kompaniyalar, shuningdek, hukumat, harbiy va huquqni muhofaza qilish idoralari bilan mashhur. Bu Xitoyda joylashgan Shenchjen ishlab chiqaruvchisi va avtomobil elektronikasi va aksessuarlari yetkazib beruvchisidan ijobiy javob ololmaganidan so‘ng tadqiqotchilarni CISA bilan o‘z tadqiqotlari bilan bo‘lishishga majbur qildi.
CISA ham MiCODUSdan javob ololmaganidan soʻng, agentlik xatolarni Umumiy zaifliklar va taʼsirlar (CVE) roʻyxatiga qoʻshishni oʻz zimmasiga oldi va ularga Umumiy zaifliklarni baholash tizimi (CVSS) ballini tayinladi, Ulardan bir nechtasi 9 balldan jiddiy jiddiylik ballini qo'lga kiritdi.10 tadan 8 tasi.
Bu zaifliklardan foydalanish “halokatli va hatto hayot uchun xavfli oqibatlarga olib kelishi” mumkin boʻlgan koʻplab hujum stsenariylarini amalga oshirishga imkon beradi, deydi tadqiqotchilar hisobotda.
Arzon hayajonlar
Osonlik bilan foydalanish mumkin boʻlgan GPS kuzatuvchisi Narsalar Interneti (IoT) qurilmalarining joriy avlodi bilan bogʻliq koʻplab xavflarni taʼkidlaydi, tadqiqotchilar taʼkidlaydilar.
Rojer Grimes, dedi Grimes elektron pochta orqali Lifewire. “Suhbatlaringizni yozib olish uchun mobil telefoningiz buzilgan bo‘lishi mumkin. Noutbukning veb-kamerasi sizni va uchrashuvlaringizni yozib olish uchun yoqilishi mumkin. Avtomobilingizning GPS kuzatuv qurilmasi esa muayyan xodimlarni topish va transport vositalarini o‘chirish uchun ishlatilishi mumkin.”
Tadqiqotchilarning ta'kidlashicha, hozirda MiCODUS MV720 GPS-trekeri yuqorida qayd etilgan kamchiliklarga qarshi himoyasizligicha qolmoqda, chunki sotuvchi tuzatishni taqdim etmagan. Shu sababli, BitSight ushbu GPS kuzatuvchisidan foydalanadigan har bir kishi tuzatish mavjud bo'lmaguncha uni o'chirib qo'yishni tavsiya qiladi.
Bunga asoslanib, Grimes yamoqlarni tuzatish boshqa muammo ekanligini tushuntiradi, chunki IoT qurilmalarida dasturiy ta'minotni tuzatish ayniqsa qiyin. "Agar siz oddiy dasturiy ta'minotni tuzatish qiyin deb hisoblasangiz, IoT qurilmalarini tuzatish o'n baravar qiyin", dedi Grimes.
Ideal dunyoda barcha IoT qurilmalari har qanday yangilanishlarni avtomatik ravishda oʻrnatish uchun avtomatik tuzatishga ega boʻladi. Afsuski, Grimes taʼkidlashicha, koʻpchilik IoT qurilmalari odamlardan ularni qoʻlda yangilashni talab qiladi, masalan, noqulay jismoniy ulanishdan foydalanish.
"Oʻylaymanki, agar sotuvchi haqiqatan ham ularni tuzatishga qaror qilsa, 90% zaif GPS kuzatuv qurilmalari himoyasiz va ulardan foydalanish mumkin boʻlib qoladi”, dedi Grimes. “IoT qurilmalari zaifliklarga toʻla va bu boʻlmaydi. Bu hikoyalarning qanchasi chiqmasin, kelajakka qarab o'zgarish."
