一項新研究表明,某廠商製造的一款流行的 GPS 車輛追蹤器,存在一個極易被利用來跟蹤和遠程切斷全球超百萬車輛動力輸出的安全漏洞。網絡安全初創公司 BitSight 表示,其在 MV720 中發現了六個漏洞。但更糟糕的是,該廠商並無去積極修復的意願。
報告指出,這款由 MiCODUS 製造的硬連線 GPS 追蹤器,擁有全球 42 萬+ 客戶和 150 萬終端部署量。
除了私家車、執法機構、以及軍隊和政府客戶,BitSight 還發現,財富 50 強公司和一家核電運營商也在使用這款 GPS 追蹤器。
危險的是,攻擊可在遠程輕鬆利用相關安全漏洞來實時追蹤任何車輛、訪問路線歷史記錄、甚至切斷形式中的車輛引擎。
BitSight 首席安全研究員 Pedro Umbelino 補充道:
這些漏洞的利用難度並不高、且其性質揭示了其它模型的重大問題 —— 暗示 MiCODUS 品牌的其它 GPS 追蹤器型號也可能存在相關風險。
鑒於漏洞的嚴重性、且沒有修復程序,BitSight 和美國政府的網絡安全諮詢機構 CISA 都發出了警告,提醒車主儘快移除這些設備以降低風險。
這六個漏洞的嚴重性和可利用性各不相同,除了其中一個、其它幾個都為‘高’或更嚴重。
部分 bug 存在於 GPS 追蹤器本身,而客戶用於追蹤其車隊的 Web 儀錶板也漏洞百出。
但最讓安全研究人員感到擔心的,還是硬編碼密碼方面的缺陷。
由於密碼直接嵌入到 Android 應用程序的代碼中,任何人都可挖掘、找到、並利用。
其可被用於完全控制任何 GPS 追蹤器、訪問車輛實時位置和路線歷史、乃至遠程切斷動力輸出。
此外研究發現這款 GPS 追蹤器的默認密碼為 123456,且任何人都可訪問未修改過密碼的 GPS 追蹤器。
BitSight 測試發現,1000 台設備樣本中,有 95% 在使用未更改的默認密碼來訪問。
這或許是在初始配置時,設備就沒有提醒用戶變更密碼。
另外兩個是“不安全的直接對象引用”漏洞(簡稱 IDOR):
IDOR 漏洞使得登錄用戶能夠訪問不屬於他們的、易受攻擊的 GPS 追蹤器的數據。
電子表格中包括了設備生成的活動記錄,比如歷史位置和行駛路線。
最後,研究人員在世界各地都發現了易受攻擊的 MiCODUS GPS 追蹤器。
其中烏克蘭、俄羅斯、烏茲別克斯坦、巴西,以及包括西班牙、波蘭、德國和法國在內的整個歐洲地區的設備集中度最高。
BitSight 發言人 Kevin Long 指出,即使美國市場的問題設備比例較小,也確切數字也可能有成千上萬。
遺憾的是,儘管這些漏洞可能對車主造成災難性的影響,但在 2021 年 9 月首次聯繫 MiCODUS 之後,該公司仍未在報告發布前積極修復。
通常情況下,安全研究人員會被廠商留下三個月的緩衝時間。不過截稿時,MiCODUS 並未立即回應外媒的置評請求。