Mga Key Takeaway
- Natuklasan ng mga mananaliksik ang mga kritikal na kahinaan sa isang sikat na GPS tracker na ginagamit sa milyun-milyong sasakyan.
- Nananatiling walang patch ang mga bug dahil nabigo ang manufacturer na makipag-ugnayan sa mga mananaliksik at maging sa Cybersecurity and Infrastructure Security Agency (CISA).
- Isa lamang itong pisikal na pagpapakita ng isang isyung pinagbabatayan ng buong ecosystem ng smart device, magmungkahi ng mga eksperto sa seguridad.
Natuklasan ng mga mananaliksik sa seguridad ang mga seryosong kahinaan sa isang sikat na GPS tracker na ginagamit sa mahigit isang milyong sasakyan sa buong mundo.
Ayon sa mga mananaliksik na may security vendor na BitSight, kung pinagsasamantalahan, ang anim na kahinaan sa MiCODUS MV720 vehicle GPS tracker ay maaaring magbigay-daan sa mga threat actor na ma-access at makontrol ang mga function ng device, kabilang ang pagsubaybay sa sasakyan o pagputol ng gasolina nito panustos. Bagama't ang mga eksperto sa seguridad ay nagpahayag ng alalahanin tungkol sa mahinang seguridad sa mga smart, internet-enabled na device sa pangkalahatan, ang BitSight research ay partikular na nakakabahala para sa aming privacy at kaligtasan.
“Sa kasamaang-palad, ang mga kahinaang ito ay hindi mahirap pagsamantalahan,” sabi ni Pedro Umbelino, punong mananaliksik ng seguridad sa BitSight, sa isang pahayag. "Ang mga pangunahing depekto sa pangkalahatang arkitektura ng system ng vendor na ito ay naglalabas ng mahahalagang tanong tungkol sa kahinaan ng iba pang mga modelo."
Remote Control
Sa ulat, sinabi ng BitSight na naka-zero ito sa MV720 dahil ito ang pinakamurang modelo ng kumpanya na nag-aalok ng anti-theft, fuel cut-off, remote control, at geofencing na mga kakayahan. Gumagamit ang cellular-enabled na tracker ng SIM card para ipadala ang status at mga update sa lokasyon nito sa mga sumusuportang server at idinisenyo upang makatanggap ng mga command mula sa mga lehitimong may-ari nito sa pamamagitan ng SMS.
Sinasabi ng BitSight na natuklasan nito ang mga kahinaan nang walang labis na pagsisikap. Gumawa pa ito ng proof of concept (PoCs) code para sa lima sa mga depekto upang ipakita na ang mga kahinaan ay maaaring pagsamantalahan sa ligaw ng mga masasamang aktor.
At hindi lang mga indibidwal ang maaaring maapektuhan. Ang mga tracker ay sikat sa mga kumpanya gayundin sa mga ahensya ng gobyerno, militar, at nagpapatupad ng batas. Ito ang naging dahilan upang ibahagi ng mga mananaliksik ang kanilang pananaliksik sa CISA matapos itong mabigong makakuha ng positibong tugon mula sa Shenzhen, China-based na manufacturer at supplier ng automotive electronics at accessories.
Pagkatapos mabigo din ang CISA na makakuha ng tugon mula sa MiCODUS, kinuha ng ahensya ang sarili nitong idagdag ang mga bug sa listahan ng Common Vulnerabilities and Exposures (CVE) at nagtalaga sa kanila ng marka ng Common Vulnerability Scoring System (CVSS), na may dalawa sa kanila na nakakuha ng kritikal na kalubhaan na marka ng 9.8 sa 10.
Ang pagsasamantala sa mga kahinaang ito ay magbibigay-daan para sa maraming posibleng mga senaryo ng pag-atake, na maaaring magkaroon ng “nakapahamak at maging nakamamatay na mga implikasyon,” tandaan ng mga mananaliksik sa ulat.
Mga Murang Kilig
Ang madaling mapagsamantalang GPS tracker ay nagha-highlight sa marami sa mga panganib sa kasalukuyang henerasyon ng mga Internet of Things (IoT) device, tandaan ang mga mananaliksik.
Roger Grimes, sinabi ni Grimes sa Lifewire sa pamamagitan ng email. Ang iyong cell phone ay maaaring makompromiso upang i-record ang iyong mga pag-uusap. Maaaring i-on ang webcam ng iyong laptop para i-record ka at ang iyong mga meeting. At magagamit ang GPS tracking device ng iyong sasakyan para maghanap ng mga partikular na empleyado at i-disable ang mga sasakyan.”
Natatandaan ng mga mananaliksik na sa kasalukuyan, ang MiCODUS MV720 GPS tracker ay nananatiling mahina sa nabanggit na mga depekto dahil ang vendor ay hindi gumawa ng isang pag-aayos. Dahil dito, inirerekomenda ng BitSight na i-disable ito ng sinumang gumagamit ng GPS tracker na ito hanggang sa magkaroon ng available na pag-aayos.
Dahil dito, ipinaliwanag ni Grimes na ang pag-patch ay nagpapakita ng isa pang problema, dahil partikular na mahirap mag-install ng mga pag-aayos ng software sa mga IoT device. “Kung sa tingin mo ay mahirap mag-patch ng regular na software, sampung beses na mas mahirap mag-patch ng mga IoT device,” sabi ni Grimes.
Sa isang perpektong mundo, lahat ng IoT device ay magkakaroon ng auto-patching upang awtomatikong mag-install ng anumang mga update. Ngunit sa kasamaang-palad, itinuturo ni Grimes na karamihan sa mga IoT device ay nangangailangan ng mga tao na manu-manong i-update ang mga ito, tumalon sa lahat ng uri ng mga hoop gaya ng paggamit ng hindi maginhawang pisikal na koneksyon.
"Inaasahan ko na 90% ng mga masusugatan na GPS tracking device ay mananatiling mahina at mapagsamantalahan kung at kapag talagang nagpasya ang vendor na ayusin ang mga ito," sabi ni Grimes. "Ang mga IoT device ay puno ng mga kahinaan, at hindi ito magagawa pagbabago sa hinaharap gaano man karami sa mga kuwentong ito ang lumabas.”