Əsas Çıxarışlar
- Tədqiqatçılar milyonlarla avtomobildə istifadə edilən məşhur GPS izləyicisində kritik boşluqlar aşkar ediblər.
- İstehsalçı tədqiqatçılar və hətta Kibertəhlükəsizlik və İnfrastruktur Təhlükəsizliyi Agentliyi (CISA) ilə əlaqə qura bilmədiyi üçün xətalar düzəldilməyib.
- Bu, bütün smart cihaz ekosisteminin altında yatan problemin fiziki təzahürüdür, təhlükəsizlik ekspertlərinə tövsiyə edin.
Təhlükəsizlik tədqiqatçıları dünyada bir milyondan çox avtomobildə istifadə edilən məşhur GPS izləyicisində ciddi boşluqlar aşkar ediblər.
Təhlükəsizlik təchizatçısı BitSight ilə tədqiqatçıların fikrincə, əgər istismar edilərsə, MiCODUS MV720 avtomobilinin GPS izləyicisindəki altı boşluq təhlükə iştirakçılarına avtomobili izləmək və ya yanacağını kəsmək daxil olmaqla cihazın funksiyalarına daxil olmaq və nəzarət etmək imkanı verə bilər. təchizatı. Təhlükəsizlik mütəxəssisləri ümumilikdə ağıllı, interneti aktivləşdirən cihazlarda zəif təhlükəsizliklə bağlı narahatlıqlarını dilə gətirsələr də, BitSight araşdırması həm məxfiliyimiz, həm də təhlükəsizliyimiz üçün xüsusilə narahatdır.
“Təəssüf ki, bu zəifliklərdən istifadə etmək çətin deyil,” BitSight-ın təhlükəsizlik üzrə baş tədqiqatçısı Pedro Umbelino press-relizdə qeyd etdi. "Bu təchizatçının ümumi sistem arxitekturasındakı əsas çatışmazlıqlar digər modellərin zəifliyi ilə bağlı əhəmiyyətli suallar yaradır."
Uzaqdan idarəetmə
Hesabatda BitSight deyir ki, o, MV720-də sıfıra enib, çünki o, şirkətin oğurluğa qarşı, yanacaq kəsilməsi, uzaqdan idarəetmə və geofencing imkanları təklif edən ən ucuz modeli idi. Mobil rabitəni aktivləşdirən izləyici statusu və məkan yeniləmələrini dəstəkləyici serverlərə ötürmək üçün SİM kartdan istifadə edir və qanuni sahiblərindən SMS vasitəsilə əmrləri qəbul etmək üçün nəzərdə tutulub.
BitSight çox səy göstərmədən zəiflikləri aşkar etdiyini iddia edir. O, hətta zəifliklərin vəhşi təbiətdə pis aktyorlar tərəfindən istifadə oluna biləcəyini nümayiş etdirmək üçün beş qüsur üçün konsepsiya sübutu (PoCs) kodu hazırlayıb.
Və təsirə məruz qalanlar təkcə fərdlər deyil. İzləyicilər şirkətlər, eləcə də hökumət, hərbi və hüquq-mühafizə orqanları arasında məşhurdur. Bu, Çində yerləşən Shenzhen istehsalçısı və avtomobil elektronikası və aksesuarlarının tədarükçüsündən müsbət cavab ala bilmədikdən sonra tədqiqatçıları CISA ilə araşdırmalarını bölüşməyə vadar etdi.
CISA də MiCODUS-dan cavab ala bilmədikdən sonra agentlik səhvləri Ümumi Zəifliklər və Təsirlər (CVE) siyahısına əlavə etməyi öz üzərinə götürdü və onlara Ümumi Zəifliklərin Qiymətləndirilməsi Sistemi (CVSS) balı təyin etdi, onlardan bir neçəsi 9 kritik ciddilik balı qazanır.10/8.
Bu zəifliklərin istismarı "fəlakətli və hətta həyat üçün təhlükə yaradan nəticələr" ola biləcək bir çox mümkün hücum ssenarilərinə imkan verəcək, hesabatdakı tədqiqatçılar qeyd edirlər.
Ucuz Həyəcanlar
Asanlıqla istifadə edilə bilən GPS izləyicisi indiki nəsil Əşyaların İnterneti (IoT) cihazları ilə bağlı bir çox riskləri vurğulayır, tədqiqatçılar qeyd edirlər.
Roger Grimes, Grimes e-poçt vasitəsilə Lifewire-a bildirib. “Söhbətlərinizi yazmaq üçün mobil telefonunuz ələ keçirilə bilər. Sizi və görüşlərinizi qeyd etmək üçün laptopunuzun veb kamerası işə salına bilər. Avtomobilinizin GPS izləmə cihazı isə xüsusi işçiləri tapmaq və nəqliyyat vasitələrini söndürmək üçün istifadə edilə bilər."
Tədqiqatçılar qeyd edirlər ki, hazırda MiCODUS MV720 GPS izləyicisi qeyd olunan çatışmazlıqlara qarşı həssas olaraq qalır, çünki satıcı düzəliş təqdim etməyib. Buna görə BitSight tövsiyə edir ki, bu GPS izləyicisindən istifadə edən hər kəs onu düzəliş əlçatan olana qədər deaktiv etsin.
Buna əsaslanaraq, Grimes izah edir ki, yamaq başqa bir problem təqdim edir, çünki IoT cihazlarında proqram təminatının düzəlişlərini quraşdırmaq xüsusilə çətindir. “Əgər siz müntəzəm proqram təminatını yamaq etməyin çətin olduğunu düşünürsünüzsə, IoT cihazlarını yamaqdan on qat daha çətindir” dedi Qrayms.
İdeal bir dünyada, bütün IoT cihazlarında hər hansı yeniləməni avtomatik quraşdırmaq üçün avtomatik yamaq olacaq. Təəssüf ki, Grimes qeyd edir ki, əksər IoT cihazları insanlardan əlverişsiz fiziki bağlantıdan istifadə etmək kimi hər cür halqalardan keçərək onları əl ilə yeniləməyi tələb edir.
"Mən təxmin edərdim ki, həssas GPS izləmə cihazlarının 90%-i, əgər satıcı faktiki olaraq onları düzəltməyə qərar verərsə və nə vaxt istifadə oluna bilər". "IoT cihazları zəifliklərlə doludur və bu, olmayacaq" bu hekayələrin nə qədər çıxmasından asılı olmayaraq gələcəyə doğru dəyişin."
