Yeni araştırmaya göre, Çin yapımı popüler bir GPS araç takip cihazındaki güvenlik açıkları, dünya çapında en az bir milyon aracın motorlarını izlemek ve uzaktan kesmek için kolayca kullanılabilir. Daha da kötüsü, GPS izleyicileri yapan şirket onları düzeltmek için hiçbir çaba göstermedi.
Siber güvenlik girişimi BitSight, bugün dünya çapında 420.000’den fazla müşteride, filoları olan şirketler de dahil olmak üzere, 1,5 milyondan fazla GPS izleyicisinin kullanıldığını iddia eden, Shenzhen merkezli bir elektronik üreticisi olan Micodus tarafından inşa edilen kablolu bir GPS izleyici MV720’de altı güvenlik açığı bulduğunu söyledi. araçların, kolluk kuvvetlerinin, orduların ve ulusal hükümetlerin BitSight, Fortune 50 şirketleri ve bir nükleer santral operatörü tarafından kullanılan GPS izleyicilerini de bulduğunu söyledi.
Ancak herhangi bir aracı gerçek zamanlı olarak izlemek, geçmiş rotalara erişmek ve hareket halindeki araçların motorlarını kesmek için güvenlik açıklarından kolayca ve uzaktan yararlanılabilir.
Yayınlanmadan önce TechCrunch tarafından görülen raporu yazan BitSight baş güvenlik araştırmacısı Pedro Umbelino, güvenlik açıklarından yararlanmanın zor olmadığını ve kusurların doğasının “diğer modellerin güvenlik açığı hakkında önemli sorular” bıraktığını söyledi. hatalar tek bir Micodus GPS izci modeliyle sınırlı olmayabilir.
Hataların ciddiyeti ve herhangi bir düzeltme olmadığı göz önüne alındığında, hem BitSight hem de ABD hükümetinin siber güvenlik danışma kurumu CISA, araç sahiplerini riski azaltmak için cihazları mümkün olan en kısa sürede kaldırmaları konusunda uyardı.
Altı güvenlik açığı önem derecesi ve yararlanılabilirlik açısından farklılık gösterir, ancak biri hariç tümü “yüksek” veya daha yüksek önem derecesine sahiptir. Hatalardan bazıları GPS izleyicinin kendisindeyken, diğerleri müşterilerin araç filolarını izlemek için kullandıkları web panosunda.
En ciddi kusur, herhangi bir GPS izleyicinin tam kontrolünü elde etmek, araçların gerçek zamanlı konumuna ve geçmiş rotalarına erişim sağlamak ve araçlara giden yakıtı uzaktan kesmek için kullanılabilen sabit kodlanmış bir paroladır. Parola doğrudan Android uygulamasının koduna gömülü olduğundan, herkes kodu araştırıp bulabilir.
Bir MiCODUS kullanıcısını temsil eden kırmızı noktalara sahip bir harita. Resim Kredisi: BitSight/sağlanır.
Araştırma ayrıca, GPS izleyicinin varsayılan “123456” şifresiyle geldiğini ve herkesin, cihazının şifresini değiştirmemiş olan GPS izleyicilerine erişmesine izin verdiğini buldu. BitSight, test ettiği 1.000 cihazdan oluşan bir örneğin %95’ine, muhtemelen cihaz sahiplerinden kurulum sırasında cihazın şifresini değiştirmeleri istenmediğinden, değiştirilmemiş bir varsayılan şifre ile erişilebilir olduğunu buldu.
Güvenli olmayan doğrudan nesne referansları veya IDOR’lar olarak bilinen kalan güvenlik açıklarından ikisi, oturum açmış bir kullanıcının kendilerine ait olmayan güvenlik açığı bulunan bir GPS izleyiciden gelen verilere erişmesine ve geçmiş konumlar gibi cihaz etkinliğini içeren elektronik tablolar oluşturmasına olanak tanır. rotalar.
Araştırmacılar, Ukrayna, Rusya, Özbekistan ve Brezilya’nın yanı sıra İspanya, Polonya, Almanya ve Fransa da dahil olmak üzere Avrupa genelinde en yüksek cihaz yoğunluğuna sahip tüm dünyada savunmasız Micodus GPS izleyicileri bulduklarını söyledi. BitSight sözcüsü Kevin Long, TechCrunch’a Amerika Birleşik Devletleri’nde daha küçük bir cihaz yüzdesi gördüğünü, ancak rakamın muhtemelen “binlerce” cihaz olduğunu söyledi.
BitSight CEO’su Stephen Harvey, güvenlik açıklarının etkilenen araç sahipleri için “feci sonuçlara” yol açma potansiyeline sahip olduğunu söyledi. Güvenlik şirketi ilk olarak Eylül 2021’de Micodus ile temasa geçti, ancak raporun yayınlanmasından önce güvenlik açıklarını düzeltmek için hiçbir çaba gösterilmedi. Güvenlik araştırmacıları genellikle şirketlere güvenlik açıklarını halka açıklanmadan önce düzeltmeleri için üç ay süre vererek geliştiricilere güvenlik açıklarının ayrıntıları yayınlanmadan önce düzeltmeleri için zaman tanır.
Micodus, TechCrunch’ın yayınlanmadan önce gönderilen yorum talebine yanıt vermedi.