MiCODUS車载定位追踪器安全漏洞波及全球超百万輛汽車
一項新钻研表白,某厂商制造的一款風行的 GPS 車輛追踪器,存在一個极易被操纵来跟踪和长途堵截全世界超百万車輛動力输出的平安缝隙。收集平安草創公司 BitSight 暗示,其在 MV720中發明了六個缝隙。但更糟的是,该厂商并没有去踊跃修复的意愿。陈述指出,這款由 MiCODUS 制造的硬連線 GPS 追踪器,具有全世界42万+ 客户和150万终端摆设量。
除私人車、法律機構、和部队和當局客户,BitSight 還發明,財產50强公司和一家核電運营商也在利用這款 GPS 追踪器。
伤害的是,進犯可在长途轻松操纵相干平安缝隙来及時追踪任何車輛、拜候線路汗青記實、乃至堵截情势中的車輛引擎。
BitSight 首席平安钻研員 Pedro Umbelino 弥补道:
這些缝隙的操纵难度其實不高、且其性子揭露了其它模子的重大問题 —— 表示 MiCODUS 品牌的其它 GPS 追踪器型号也可能存在相干危害。
鉴于按摩枕,缝隙的紧张性、且没有修复步伐,BitSight 和美國當局的收集平安咨詢機構 CISA 都發出了告诫,提示車主尽快移除這些装备以低落危害。
這六個缝隙的紧张性和可操纵性各不不异,除此中一個、其它几個都為‘高’或更紧张。
部門 bug 存信用借款,在于 GPS 追踪器自己,而客户用于追踪其車队的 Web 仪表板也缝隙百出。
但最使平安钻研职員感触担忧的,仍是硬编码暗码方面的缺點。
因為暗码直接嵌入到 Android 利用步伐的代码中,任何人均可發掘、找到、并操纵。
其可被用于彻底節制任何 GPS 追踪器、拜候車輛及時位置和線路汗青、甚至长途堵截動力输出。
别的钻研發明這款 GPS 追踪器的默许暗码為123456,且任何人均可拜候未修悔改暗码的 GPS 追踪器。
BitSight 测试發明,1000台装备样本中,有95% 在利用未更改的默许暗码来拜候。
這也许是在初始设置装备摆设時,装备就没有提示用户變動暗码。
此外两個是“不平安的直接工具援用”缝隙(简称 IDOR):
IDOR 缝隙使得登任命户可以或许拜候不属于他們的、易受進犯的 GPS 追踪器的数据。
電子表格中包含了装备天生的勾當記實,好比汗青位置和行驶線路。
最後,钻研职員活着界各新竹當鋪,地都發明了易受進犯的 MiCODUS GPS 追踪器。
此中乌克兰、俄罗斯、乌兹别克斯坦、巴西,和包含西班牙、波兰、德國和法國在內的全部欧洲地域的装备集中度最高。
BitSight 讲话人 Kevin Lopigav,ng 指出,即便美國市場的問题装备比例较小,也切當数字也可能有不计其数。
遗憾的是,虽然這些缝隙可能對車主造成劫难性的影响,但在2021年9月初次接洽 MiCODUS 以後,该公司仍未在陈述公布前踊跃修复。
凡是环境下,平安钻研职員會被厂商留下三個月的缓冲時候。不外截稿時,MiCODUS 并未當即回應外媒的置评哀求。
頁:
[1]