Key Takeaways
- Forscher haben kritische Schwachstellen in einem beliebten GPS-Tracker entdeckt, der in Millionen von Fahrzeugen verwendet wird.
- Die Fehler bleiben ungepatcht, da der Hersteller es versäumt hat, mit den Forschern und sogar mit der Cybersecurity and Infrastructure Security Agency (CISA) zusammenzuarbeiten.
- Dies ist nur eine physische Manifestation eines Problems, das dem gesamten Ökosystem intelligenter Geräte zugrunde liegt, schlagen Sicherheitsexperten vor.
Sicherheitsforscher haben schwerwiegende Sicherheitslücken in einem beliebten GPS-Tracker entdeckt, der in über einer Million Fahrzeugen auf der ganzen Welt verwendet wird.
Laut den Forschern des Sicherheitsanbieters BitSight könnten die sechs Sicherheitslücken im Fahrzeug-GPS-Tracker MiCODUS MV720, wenn sie ausgenutzt werden, Angreifern den Zugriff auf und die Kontrolle der Funktionen des Geräts ermöglichen, einschließlich der Verfolgung des Fahrzeugs oder des Absch altens des Kraftstoffs liefern. Während Sicherheitsexperten Bedenken hinsichtlich der laxen Sicherheit in intelligenten, internetfähigen Geräten insgesamt geäußert haben, ist die BitSight-Forschung sowohl für unsere Privatsphäre als auch für unsere Sicherheit besonders besorgniserregend.
„Leider sind diese Schwachstellen nicht schwer auszunutzen“, bemerkte Pedro Umbelino, leitender Sicherheitsforscher bei BitSight, in einer Pressemitteilung. „Grundlegende Mängel in der gesamten Systemarchitektur dieses Anbieters werfen erhebliche Fragen zur Anfälligkeit anderer Modelle auf.“
Fernbedienung
In dem Bericht sagt BitSight, dass es sich auf das MV720 konzentriert hat, da es das günstigste Modell des Unternehmens war, das Diebstahlschutz, Kraftstoffabsch altung, Fernsteuerung und Geofencing-Funktionen bietet. Der mobilfunkfähige Tracker verwendet eine SIM-Karte, um seine Status- und Standortaktualisierungen an unterstützende Server zu übertragen, und ist so konzipiert, dass er Befehle von seinen rechtmäßigen Besitzern per SMS empfängt.
BitSight behauptet, die Schwachstellen ohne großen Aufwand entdeckt zu haben. Es entwickelte sogar einen Proof-of-Concept-Code (PoCs) für fünf der Schwachstellen, um zu zeigen, dass die Schwachstellen in freier Wildbahn von böswilligen Akteuren ausgenutzt werden können.
Und es sind nicht nur Einzelpersonen, die betroffen sein könnten. Die Tracker sind sowohl bei Unternehmen als auch bei Regierungs-, Militär- und Strafverfolgungsbehörden beliebt. Dies veranlasste die Forscher, ihre Forschungsergebnisse mit der CISA zu teilen, nachdem sie keine positive Antwort von dem in Shenzhen, China, ansässigen Hersteller und Lieferanten von Automobilelektronik und -zubehör erh alten hatten.
Nachdem die CISA ebenfalls keine Antwort von MiCODUS erh alten hat, hat die Behörde es sich zur Aufgabe gemacht, die Fehler in die Common Vulnerabilities and Exposures (CVE)-Liste aufzunehmen und ihnen eine Common Vulnerability Scoring System (CVSS)-Punktzahl zuzuweisen, Einige von ihnen haben einen kritischen Schweregrad von 9 erreicht.8 von 10.
Die Ausnutzung dieser Sicherheitslücken würde viele mögliche Angriffsszenarien ermöglichen, die „katastrophale und sogar lebensbedrohliche Auswirkungen“haben könnten, stellen die Forscher in dem Bericht fest.
Billige Nervenkitzel
Der leicht nutzbare GPS-Tracker hebt viele der Risiken der aktuellen Generation von Geräten für das Internet der Dinge (IoT) hervor, stellen die Forscher fest.
Roger Grimes, sagte Grimes Lifewire per E-Mail. „Ihr Handy kann kompromittiert werden, um Ihre Gespräche aufzuzeichnen. Die Webcam Ihres Laptops kann eingesch altet werden, um Sie und Ihre Meetings aufzuzeichnen. Und das GPS-Ortungsgerät Ihres Autos kann verwendet werden, um bestimmte Mitarbeiter zu finden und Fahrzeuge zu deaktivieren.“
Die Forscher stellen fest, dass der GPS-Tracker MiCODUS MV720 derzeit weiterhin anfällig für die genannten Fehler ist, da der Anbieter keine Lösung zur Verfügung gestellt hat. Aus diesem Grund empfiehlt BitSight, dass jeder, der diesen GPS-Tracker verwendet, ihn deaktiviert, bis eine Lösung verfügbar ist.
Darauf aufbauend erklärt Grimes, dass das Patchen ein weiteres Problem darstellt, da es besonders schwierig ist, Software-Fixes auf IoT-Geräten zu installieren. „Wenn Sie denken, dass es schwierig ist, normale Software zu patchen, ist es zehnmal so schwierig, IoT-Geräte zu patchen“, sagte Grimes.
In einer idealen Welt hätten alle IoT-Geräte Auto-Patching, um alle Updates automatisch zu installieren. Aber leider weist Grimes darauf hin, dass die meisten IoT-Geräte manuell aktualisiert werden müssen, was durch alle möglichen Hürden springt, wie z. B. die Verwendung einer unbequemen physischen Verbindung.
"Ich würde spekulieren, dass 90 % der anfälligen GPS-Tracking-Geräte verwundbar und ausnutzbar bleiben, wenn der Anbieter tatsächlich beschließt, sie zu reparieren", sagte Grimes. "IoT-Geräte sind voller Schwachstellen, und dies wird nicht der Fall sein Veränderung in die Zukunft, egal wie viele dieser Geschichten herauskommen.“
