Bir güvenlik firması ve ABD hükümeti, bilgisayar korsanlarının hareket halindeyken arabaları uzaktan devre dışı bırakmasını mümkün kılan bir dizi güvenlik açığına atıfta bulunarak, halka popüler bir GPS izleme cihazını kullanmayı derhal bırakmasını veya en azından buna maruz kalmayı en aza indirmesini tavsiye ediyor. konum geçmişlerini takip edin, alarmları devre dışı bırakın ve yakıtı kesin.
Güvenlik firması BitSight’ın yaptığı bir değerlendirme, yaklaşık 20 dolara satılan ve yaygın olarak bulunabilen bir GPS izci olan Micodus MV720’de altı güvenlik açığı buldu. Değerlendirmeyi yapan araştırmacılar, diğer Micodus izleyici modellerinde de aynı kritik güvenlik açıklarının bulunduğuna inanıyor. Çin merkezli üretici, izleme cihazlarının 1,5 milyonunun 420.000 müşteriye dağıtıldığını söylüyor. BitSight, cihazı hükümetler, ordular, kolluk kuvvetleri ve havacılık, nakliye ve üretim şirketleri dahil olmak üzere 169 ülkede kullanımda buldu.
BitSight, cihazda bir dizi olası saldırıya izin veren altı “ciddi” güvenlik açığı olduğunu keşfetti. Bir kusur, uzaktaki bilgisayar korsanlarının mobil uygulama ile destekleyici sunucular arasında gönderilen istekleri engelleyen veya değiştiren ortadaki düşman saldırıları gerçekleştirmesini mümkün kılan şifrelenmemiş HTTP iletişiminin kullanılmasıdır. Diğer güvenlik açıkları arasında, mobil uygulamada, saldırganların izleyicileri kilitlemek için sabit kodlanmış anahtara erişmesine izin verebilen kusurlu bir kimlik doğrulama mekanizması ve bilgisayar korsanlarının tüm iletişimleri izlemesini ve kontrol etmesini sağlayan özel bir IP adresi kullanma yeteneği yer alıyor. cihaz.
Güvenlik firması, güvenlik açıklarını şirket yetkililerine bildirmek için ilk olarak Eylül ayında Micodus ile temasa geçtiğini söyledi. BitSight ve CISA, aylarca üreticiyle özel olarak ilişki kurmaya çalıştıktan sonra nihayet Salı günü bulguları halka açıkladı. Yazma tarihi itibariyle, tüm güvenlik açıkları yamasız ve giderilmemiş durumda.
Araştırmacılar, “BitSight, şu anda MiCODUS MV720 GPS izleme cihazlarını kullanan kişi ve kuruluşların bir düzeltme sağlanana kadar bu cihazları devre dışı bırakmasını tavsiye ediyor” diye yazdı. Modeli ne olursa olsun herhangi bir MiCODUS GPS takip cihazı kullanan kuruluşlar, sistem mimarisiyle ilgili herhangi bir cihazı riske atabilecek güvensizlik konusunda uyarılmalıdır.”
ABD Siber Güvenlik ve Altyapı Güvenliği İdaresi de kritik güvenlik hatalarının oluşturduğu riskler konusunda uyarıyor.
Ajans yetkilileri, “Bu güvenlik açıklarından başarılı bir şekilde yararlanılması, bir saldırganın herhangi bir MV720 GPS izci üzerinde kontrol sağlamasına, konuma, rotalara, yakıt kesme komutlarına ve çeşitli özelliklerin (örneğin alarmlar) devre dışı bırakılmasına izin verebilir” diye yazdı.
Güvenlik açıkları arasında CVE-2022-2107 olarak izlenen ve olası 10 üzerinden 9,8 önem derecesine sahip sabit kodlanmış bir parola bulunur. Micodus izleyicileri bunu ana parola olarak kullanır. Bu şifreyi alan bilgisayar korsanları, web sunucusuna giriş yapmak, meşru kullanıcının kimliğine bürünmek ve GPS kullanıcısının cep telefonu numarasından geliyormuş gibi görünen SMS iletişimleri yoluyla izleyiciye komutlar göndermek için bu şifreyi kullanabilir. Bu kontrol ile bilgisayar korsanları şunları yapabilir:
• Herhangi bir GPS izleyicinin tam kontrolünü elde edin
• Konum bilgilerine, rotalara, coğrafi sınırlara erişin ve konumları gerçek zamanlı olarak takip edin
• Araçlara giden yakıtı kesin
• Alarmları ve diğer özellikleri devre dışı bırakın
Ayrı bir güvenlik açığı, CVE-2022-2141, Micodus sunucusunun ve GPS izleyicinin iletişim kurmak için kullandığı protokolde kimlik doğrulamanın bozulmasına neden olur. Diğer güvenlik açıkları arasında Micodus sunucusu tarafından kullanılan sabit kodlanmış bir parola, Web sunucusunda yansıyan bir siteler arası komut dosyası çalıştırma hatası ve Web sunucusunda güvenli olmayan bir doğrudan nesne başvurusu bulunur. Diğer izleme tanımlamaları arasında CVE-2022-2199, CVE-2022-34150, CVE-2022-33944 bulunur.
BitSight araştırmacıları, “Bu güvenlik açıklarından yararlanmanın feci ve hatta yaşamı tehdit eden sonuçları olabilir” diye yazdı. “Örneğin, bir saldırgan, ticari veya acil durum araç filosunun tamamının yakıtını kesmek için bazı güvenlik açıklarından yararlanabilir. Veya saldırgan, tehlikeli otoyollardaki araçları izlemek ve aniden durdurmak için GPS bilgisinden yararlanabilir. Saldırganlar, bireyleri gizlice takip etmeyi veya engelli araçları çalışır duruma getirmek için fidye ödemeyi tercih edebilir. Can kaybı, mal hasarı, mahremiyet ihlalleri ve ulusal güvenliği tehdit edebilecek birçok olası senaryo var.”
Yorum için Micodus’a ulaşma girişimleri başarısız oldu.
BitSight uyarıları önemlidir. Bu cihazlardan birini kullanan herkes, mümkünse derhal cihazı kapatmalı ve tekrar kullanmadan önce eğitimli bir güvenlik uzmanına danışmalıdır.
