Según un nuevo estudio de la firma de ciberseguridad BitSightuna falla de seguridad en un GPS chino (el MV720), fabricado por MiCODUS, una empresa de electrónica con sede en Shenzhen, expuso 1,5 millones “vehículos sensibles”.
Un GPS chino particularmente vulnerable
Los resultados del estudio muestran que las fallas de seguridad de este popular GPS chino podrían explotarse fácilmente para “supervisar y apagar de forma remota el motor de al menos 1,5 vehículos en todo el mundo”. De acuerdo a BitSight, la empresa china que fabrica este GPS no se ha esforzado en corregir las fallas. La empresa tiene más de 420.000 clientes en todo el mundo, incluidas empresas con flotas de vehículos, organismos encargados de hacer cumplir la ley, ejércitos y gobiernos nacionales. Los defectos descubiertos no son insignificantes.
La escasez mundial de semiconductores está lejos de terminar
Según los expertos en ciberseguridad, pueden ser “se aprovecha de forma fácil y remota para rastrear cualquier vehículo en tiempo real, acceder a rutas anteriores e incluso apagar los motores de los vehículos en movimiento”. Pedro Umbelino, el autor del informe, dijo que las vulnerabilidades no son difíciles de explotar y que la naturaleza de las fallas plantea muchas preguntas sobre la vulnerabilidad de otros modelos. Dada la gravedad de la situación, BitSight y CISA (Cybersecurity and Infrastructure Security Agency), advirtieron a los propietarios de los vehículos.
Defectos peligrosos para los propietarios de los vehículos afectados
En total, hay seis vulnerabilidades. Todos ellos están clasificados como de gravedad. “alto”. Algunos están en el GPS, mientras que otros están en el tablero que los clientes usan para rastrear su flota de vehículos. El defecto más grave es una contraseña codificada que se puede usar para tomar el control total de cualquier rastreador GPS. Por lo tanto, una persona malintencionada puede acceder a la ubicación en tiempo real del vehículo, sus rutas pasadas y, sobre todo, detener el suministro de combustible a los vehículos. Dado que la contraseña está integrada directamente en el código de la aplicación de Android, cualquiera puede encontrarla.
El estudio también encontró que la contraseña GPS predeterminada era “123456” y que el 95 % de una muestra de 1000 dispositivos probados eran accesibles con esta contraseña predeterminada. Probablemente porque a los propietarios no se les pide que cambien la contraseña del dispositivo durante la configuración. Los GPS fabricados por MiCODUS se pueden encontrar en particular en Ucrania, Rusia, Uzbekistán en Brasil, así como en Europa (en particular en España, Polonia, Alemania y Francia). Según Stephen Harvey, director general de BitSightlas vulnerabilidades pueden tener “consecuencias desastrosas” para los propietarios de los vehículos afectados.
About the Author
