一項(xiàng)新研究表明,某廠商制造的一款流行的 GPS 車輛追蹤器,存在一個(gè)極易被利用來跟蹤和遠(yuǎn)程切斷全球超百萬車輛動(dòng)力輸出的安全漏洞。網(wǎng)絡(luò)安全初創(chuàng)公司 BitSight 表示,其在 MV720 中發(fā)現(xiàn)了六個(gè)漏洞。但更糟糕的是,該廠商并無去積極修復(fù)的意愿。
報(bào)告指出,這款由 MiCODUS 制造的硬連線 GPS 追蹤器,擁有全球 42 萬+ 客戶和 150 萬終端部署量。
除了私家車、執(zhí)法機(jī)構(gòu)、以及軍隊(duì)和政府客戶,BitSight 還發(fā)現(xiàn),財(cái)富 50 強(qiáng)公司和一家核電運(yùn)營(yíng)商也在使用這款 GPS 追蹤器。
危險(xiǎn)的是,攻擊可在遠(yuǎn)程輕松利用相關(guān)安全漏洞來實(shí)時(shí)追蹤任何車輛、訪問路線歷史記錄、甚至切斷形式中的車輛引擎。
BitSight 首席安全研究員 Pedro Umbelino 補(bǔ)充道:
這些漏洞的利用難度并不高、且其性質(zhì)揭示了其它模型的重大問題 —— 暗示 MiCODUS 品牌的其它 GPS 追蹤器型號(hào)也可能存在相關(guān)風(fēng)險(xiǎn)。
鑒于漏洞的嚴(yán)重性、且沒有修復(fù)程序,BitSight 和美國(guó)政府的網(wǎng)絡(luò)安全咨詢機(jī)構(gòu) CISA 都發(fā)出了警告,提醒車主盡快移除這些設(shè)備以降低風(fēng)險(xiǎn)。
這六個(gè)漏洞的嚴(yán)重性和可利用性各不相同,除了其中一個(gè)、其它幾個(gè)都為‘高’或更嚴(yán)重。
部分 bug 存在于 GPS 追蹤器本身,而客戶用于追蹤其車隊(duì)的 Web 儀表板也漏洞百出。
但最讓安全研究人員感到擔(dān)心的,還是硬編碼密碼方面的缺陷。
由于密碼直接嵌入到 Android 應(yīng)用程序的代碼中,任何人都可挖掘、找到、并利用。
其可被用于完全控制任何 GPS 追蹤器、訪問車輛實(shí)時(shí)位置和路線歷史、乃至遠(yuǎn)程切斷動(dòng)力輸出。
此外研究發(fā)現(xiàn)這款 GPS 追蹤器的默認(rèn)密碼為 123456,且任何人都可訪問未修改過密碼的 GPS 追蹤器。
BitSight 測(cè)試發(fā)現(xiàn),1000 臺(tái)設(shè)備樣本中,有 95% 在使用未更改的默認(rèn)密碼來訪問。
這或許是在初始配置時(shí),設(shè)備就沒有提醒用戶變更密碼。
另外兩個(gè)是“不安全的直接對(duì)象引用”漏洞(簡(jiǎn)稱 IDOR):
IDOR 漏洞使得登錄用戶能夠訪問不屬于他們的、易受攻擊的 GPS 追蹤器的數(shù)據(jù)。
電子表格中包括了設(shè)備生成的活動(dòng)記錄,比如歷史位置和行駛路線。
最后,研究人員在世界各地都發(fā)現(xiàn)了易受攻擊的 MiCODUS GPS 追蹤器。
其中烏克蘭、俄羅斯、烏茲別克斯坦、巴西,以及包括西班牙、波蘭、德國(guó)和法國(guó)在內(nèi)的整個(gè)歐洲地區(qū)的設(shè)備集中度最高。
BitSight 發(fā)言人 Kevin Long 指出,即使美國(guó)市場(chǎng)的問題設(shè)備比例較小,也確切數(shù)字也可能有成千上萬。
遺憾的是,盡管這些漏洞可能對(duì)車主造成災(zāi)難性的影響,但在 2021 年 9 月首次聯(lián)系 MiCODUS 之后,該公司仍未在報(bào)告發(fā)布前積極修復(fù)。
通常情況下,安全研究人員會(huì)被廠商留下三個(gè)月的緩沖時(shí)間。不過截稿時(shí),MiCODUS 并未立即回應(yīng)外媒的置評(píng)請(qǐng)求。
