Κρίσιμα κενά ασφαλείας σε GPS tracker μπορούν να δώσουν ζωτικές πληροφορίες και λειτουργίες του αυτοκινήτου σε τρίτους

Μια εταιρεία ασφαλείας και η κυβέρνηση των ΗΠΑ συμβουλεύουν να σταματήσει αμέσως η χρήση μιας δημοφιλής συσκευής παρακολούθησης GPS ή τουλάχιστον να ελαχιστοποιήθει η έκθεση σε αυτήν, επικαλούμενη μια σειρά από κενά ασφαλείας που επιτρέπουν στους σε κακόβουλους χρήστες να απενεργοποιούν εξ αποστάσεως τα αυτοκίνητα ενώ κινούνται, να παρακολουθούν το ιστορικό τοποθεσίας, να αφοπλίσει το συναγερμό του αυτοκινήτου, ακόμα και να διακόψει τη τροφοδοσία καυσίμου. Μια αξιολόγηση από την εταιρεία ασφαλείας BitSight βρήκε έξι τρωτά σημεία στο Micodus MV720, ένα GPS tracker που πωλείται για περίπου 20 $ και είναι ευρέως διαθέσιμος. Οι ερευνητές που πραγματοποίησαν την αξιολόγηση πιστεύουν ότι τα ίδια κρίσιμα τρωτά σημεία υπάρχουν και σε άλλα μοντέλα Micodus. Ο κατασκευαστής που εδρεύει στην Κίνα λέει ότι 1,5 εκατομμύριο από τις συσκευές εντοπισμού του έχουν εγκατασταθεί σε 420.000 πελάτες. Η BitSight βρήκε τη συσκευή σε χρήση σε 169 χώρες, με πελάτες που περιλαμβάνουν κυβερνήσεις, στρατιωτικές οντότητες, υπηρεσίες επιβολής του νόμου και εταιρείες αεροδιαστημικής, ναυτιλίας και κατασκευών.

Η BitSight ανακάλυψε έξι «σοβαρές» ευπάθειες στη συσκευή που επιτρέπουν μια σειρά από πιθανές επιθέσεις. Ένα ελάττωμα είναι η χρήση μη κρυπτογραφημένων επικοινωνιών HTTP που επιτρέπει σε απομακρυσμένους χάκερ να διεξάγουν επιθέσεις τύπου "adversary-in-the-middle" που παρεμποδίζουν ή αλλάζουν αιτήματα που αποστέλλονται μεταξύ της εφαρμογής για κινητά και των διακομιστών υποστήριξης. Άλλες ευπάθειες περιλαμβάνουν έναν ελαττωματικό μηχανισμό ελέγχου ταυτότητας στην εφαρμογή για κινητά που μπορεί να επιτρέψει στους εισβολείς να έχουν πρόσβαση στο κλειδί για το κλείδωμα των GPS και τη δυνατότητα χρήσης μιας προσαρμοσμένης διεύθυνσης IP που επιτρέπει στους χάκερ να παρακολουθούν και να ελέγχουν όλες τις επικοινωνίες προς και από το συσκευή.

Τα τρωτά σημεία περιλαμβάνουν ένα που παρακολουθείται ως CVE-2022-2107, έναν hardcoded κωδικό πρόσβασης που έχει βαθμολογία σοβαρότητας 9,8 στα 10. Οι ανιχνευτές Micodus τον χρησιμοποιούν αυτόν ως κύριο κωδικό πρόσβασης. Οι κακόβουλοι χρήστες που αποκτούν αυτόν τον κωδικό πρόσβασης μπορούν να τον χρησιμοποιήσουν για να συνδεθούν στον web server, να μιμηθούν τον νόμιμο χρήστη και να στείλουν εντολές στο GPS μέσω επικοινωνιών SMS που φαίνεται να προέρχονται από τον αριθμό κινητού του χρήστη GPS. Με αυτόν τον έλεγχο, οι χάκερ μπορούν: Να αποκτήσουν πλήρη έλεγχο οποιουδήποτε συσκευής GPS, λαμβάνοντας έτσι πρόσβαση σε πληροφορίες τοποθεσίας, διαδρομές και τοποθεσίες παρακολούθησης σε πραγματικό χρόνο, να προκαλέσουν τη διακοπή της ροής καυσίμων στα οχήματα να αφοπλίσουν το συναγερμό και άλλες λειτουργίες. Μια ξεχωριστή ευπάθεια, το CVE-2022-2141, οδηγεί στην παραβίαση του ελέγχου ταυτότητας στο πρωτόκολλο που χρησιμοποιούν ο διακομιστής Micodus και το GPS για επικοινωνία. Άλλα θέματα ευπάθειας περιλαμβάνουν έναν κωδικό πρόσβασης που χρησιμοποιείται από τον διακομιστή Micodus, ένα σφάλμα δέσμης ενεργειών μεταξύ τοποθεσιών στον διακομιστή Web και μια μη ασφαλή άμεση αναφορά αντικειμένου (insecure direct object reference) στον διακομιστή Web. Οι άλλες ονομασίες παρακολούθησης περιλαμβάνουν τα CVE-2022-2199, CVE-2022-34150 και CVE-2022-33944.