Security

20220721_120165800.jpg
Forrás: ITB

Jobban teszi, ha megszabadul ettől a GPS-eszköztől

Kritikus sérülékenységek is vannak egy kínai GPS-eszközben, amelyeket kihasználva akár a távolból is leállítható a jármű.

Hat komoly biztonsági hiányosságot is felfedezett a BitSight biztonsági vállalat a kínai Micodus elektronikai gyártó MV720 GPS-követő eszközében (GPS tracker). A helyzetet súlyosbítja, hogy az eszközök több millió járműbe kerülhettek be szerte a világon, a biztonsági rések pedig viszonylag könnyen kihasználhatóak, ráadásul a gyártó nem reagált a BitSight és az amerikai Cybersecurity and Infrastructure Agency (CISA) megkeresésére, így egyelőre javítás sincsen hozzájuk.

A hat hibából ráadásul kettőt kritikusnak minősítettek a szakemberek. Az egyik egy beégetett jelszó, amelyen keresztül a támadó sms-ben parancsokat küldhetnek az eszközre. A parancsok révén nem csak valós időben lehet követni a járművek helyzetét, hanem a távolból el lehet zárni az üzemanyag-ellátásukat is – akár egy teljes flottáét egyszerre. Ezen felül lehetőség van nyomon követni a járművek helyzetét, lekérni a korábbi útvonalakat vagy kikapcsolni a riasztót.

A piros pöttyök a Micodus eszközök helyét mutatják
A piros pöttyök a Micodus eszközök helyét mutatják

Veszélyt jelent az is, hogy az eszköz nem kéri, hogy a felhasználó változtassa meg az alapbeállítás szerinti jelszót – ami nem más, mint a „klasszikus” 123456. A BitSight tett egy próbát mintegy ezer eszközzel, és mint kiderült, 95 százalékuk elérhető volt az alapbeállított jelszóval.

Nem lehet pontosan tudni, hogy hány érintett Micodus eszköz lehet szerte a világon. A BitSight szerint 169 országban nagyjából 1,5 millió eszközről lehet szó. A felhasználók között van a világ 50 legnagyobb vállalata közül legalább öt, USA-beli tagállami kormányzat egy dél-amerikai hadsereg is.

(via The Register, engadget, TechCrunch)