Key Takeaway
- Penyelidik telah menemui kelemahan kritikal dalam penjejak GPS popular yang digunakan dalam berjuta-juta kenderaan.
- Pepijat kekal tidak dipadam kerana pengilang gagal berinteraksi dengan penyelidik dan juga Agensi Keselamatan Siber dan Infrastruktur (CISA).
- Ini hanyalah manifestasi fizikal isu yang mendasari keseluruhan ekosistem peranti pintar, cadangkan pakar keselamatan.
Penyelidik keselamatan telah menemui kelemahan serius dalam penjejak GPS popular yang digunakan dalam lebih sejuta kenderaan di seluruh dunia.
Menurut penyelidik dengan vendor keselamatan BitSight, jika dieksploitasi, enam kelemahan dalam penjejak GPS kenderaan MiCODUS MV720 boleh membolehkan pelaku ancaman mengakses dan mengawal fungsi peranti, termasuk menjejak kenderaan atau memotong bahan apinya bekalan. Walaupun pakar keselamatan telah menyuarakan kebimbangan tentang keselamatan yang lemah dalam peranti pintar yang didayakan internet secara keseluruhan, penyelidikan BitSight amat membimbangkan untuk privasi dan keselamatan kami.
“Malangnya, kelemahan ini tidak sukar untuk dieksploitasi,” kata Pedro Umbelino, penyelidik keselamatan utama di BitSight, dalam kenyataan akhbar. “Kecacatan asas dalam seni bina sistem keseluruhan vendor ini menimbulkan persoalan penting tentang kelemahan model lain."
Kawalan Jauh
Dalam laporan itu, BitSight berkata ia memusatkan perhatian pada MV720 kerana ia merupakan model paling murah syarikat yang menawarkan keupayaan anti-kecurian, pemotongan bahan api, kawalan jauh dan geofencing. Penjejak berdaya selular menggunakan kad SIM untuk menghantar kemas kini status dan lokasinya kepada pelayan sokongan dan direka bentuk untuk menerima arahan daripada pemiliknya yang sah melalui SMS.
BitSight mendakwa ia menemui kelemahan tanpa banyak usaha. Ia juga membangunkan kod bukti konsep (PoC) untuk lima daripada kelemahan untuk menunjukkan bahawa kelemahan boleh dieksploitasi di alam liar oleh pelakon jahat.
Dan bukan hanya individu yang boleh terjejas. Penjejak adalah popular dengan syarikat serta agensi kerajaan, tentera dan penguatkuasaan undang-undang. Ini menyebabkan para penyelidik berkongsi penyelidikan mereka dengan CISA selepas ia gagal mendapatkan respons positif daripada pengeluar dan pembekal elektronik dan aksesori automotif yang berpangkalan di Shenzhen, China.
Selepas CISA juga gagal mendapat respons daripada MiCODUS, agensi itu mengambil tanggungjawab sendiri untuk menambahkan pepijat pada senarai Kerentanan dan Pendedahan Biasa (CVE) dan memberikan mereka skor Sistem Pemarkahan Kerentanan Biasa (CVSS), dengan beberapa daripada mereka memperoleh skor keterukan kritikal sebanyak 9.8 daripada 10.
Eksploitasi kelemahan ini akan membolehkan banyak kemungkinan senario serangan, yang boleh mempunyai “implikasi yang buruk dan bahkan mengancam nyawa,” perhatikan penyelidik dalam laporan itu.
Keseronokan Murah
Penjejak GPS yang mudah dieksploitasi menyerlahkan banyak risiko dengan peranti Internet Perkara (IoT) generasi semasa, perhatikan penyelidik.
Roger Grimes, Grimes memberitahu Lifewire melalui e-mel. “Telefon bimbit anda boleh dikompromi untuk merakam perbualan anda. Kamera web komputer riba anda boleh dihidupkan untuk merakam anda dan mesyuarat anda. Dan peranti penjejakan GPS kereta anda boleh digunakan untuk mencari pekerja tertentu dan melumpuhkan kenderaan.”
Para penyelidik mendapati bahawa pada masa ini, penjejak GPS MiCODUS MV720 kekal terdedah kepada kelemahan yang disebutkan kerana vendor belum menyediakan pembetulan. Disebabkan ini, BitSight mengesyorkan agar sesiapa sahaja yang menggunakan penjejak GPS ini melumpuhkannya sehingga pembetulan disediakan.
Berdasarkan perkara ini, Grimes menjelaskan penampalan menimbulkan masalah lain, kerana amat sukar untuk memasang pembetulan perisian pada peranti IoT. “Jika anda rasa sukar untuk menampal perisian biasa, sepuluh kali lebih sukar untuk menampal peranti IoT,” kata Grimes.
Dalam dunia yang ideal, semua peranti IoT akan mempunyai tampalan automatik untuk memasang sebarang kemas kini secara automatik. Tetapi malangnya, Grimes menunjukkan kebanyakan peranti IoT memerlukan orang ramai mengemas kininya secara manual, melompat melalui semua jenis gelung seperti menggunakan sambungan fizikal yang menyusahkan.
"Saya akan membuat spekulasi bahawa 90% peranti penjejakan GPS yang terdedah akan kekal terdedah dan boleh dieksploitasi jika dan apabila vendor benar-benar memutuskan untuk membetulkannya," kata Grimes. "Peranti IoT penuh dengan kelemahan, dan ini tidak akan berubah ke masa depan tidak kira berapa banyak cerita ini keluar.”
