Önemli Bilgiler
- Araştırmacılar, milyonlarca araçta kullanılan popüler bir GPS izleyicide kritik güvenlik açıkları keşfetti.
- Üretici, araştırmacılarla ve hatta Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ile bağlantı kurmayı başaramadığı için hatalar düzeltilmedi.
- Bu, tüm akıllı cihaz ekosisteminin altında yatan bir sorunun yalnızca fiziksel bir tezahürüdür, güvenlik uzmanlarına göre.
Güvenlik araştırmacıları, dünya çapında bir milyondan fazla araçta kullanılan popüler bir GPS izleyicide ciddi güvenlik açıkları keşfetti.
Güvenlik sağlayıcısı BitSight'taki araştırmacılara göre, eğer istismar edilirse, MiCODUS MV720 araç GPS izleyicisindeki altı güvenlik açığı, tehdit aktörlerinin aracı izleme veya yakıtını kesme de dahil olmak üzere cihazın işlevlerine erişmesine ve bunları kontrol etmesine olanak sağlayabilir. arz. Güvenlik uzmanları, akıllı, internet özellikli cihazlarda genel olarak gevşek güvenlikle ilgili endişelerini dile getirirken, BitSight araştırması hem gizliliğimiz hem de güvenliğimiz için özellikle endişe verici.
BitSight'ın baş güvenlik araştırmacısı Pedro Umbelino bir basın açıklamasında "Ne yazık ki, bu güvenlik açıklarından yararlanmak zor değil" dedi. "Bu satıcının genel sistem mimarisindeki temel kusurlar, diğer modellerin güvenlik açığı hakkında önemli soruları gündeme getiriyor."
Uzaktan Kumanda
Raporda BitSight, hırsızlık önleme, yakıt kesme, uzaktan kontrol ve coğrafi sınırlama özellikleri sunan şirketin en ucuz modeli olduğu için MV720'ye odaklandığını söylüyor. Hücresel özellikli izleyici, durumunu ve konum güncellemelerini destekleyici sunuculara iletmek için bir SIM kart kullanır ve yasal sahiplerinden SMS yoluyla komutlar almak üzere tasarlanmıştır.
BitSight, güvenlik açıklarını fazla çaba harcamadan keşfettiğini iddia ediyor. Güvenlik açıklarının kötü aktörler tarafından vahşi doğada istismar edilebileceğini göstermek için kusurların beşi için kavram kanıtı (PoC) kodu bile geliştirdi.
Ve etkilenebilecek olanlar sadece bireyler değil. İzleyiciler, şirketlerin yanı sıra hükümet, askeri ve kolluk kuvvetleri arasında popülerdir. Bu, Çin merkezli üretici ve otomotiv elektroniği ve aksesuarları tedarikçisi Shenzhen'den olumlu bir yanıt alamayınca araştırmacıları araştırmalarını CISA ile paylaşmaya yöneltti.
CISA'nın da MiCODUS'tan yanıt alamamasından sonra, ajans, hataları Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) listesine eklemeyi üstlendi ve onlara bir Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanı verdi, bunlardan birkaçı kritik önem puanı 9 alıyor.10 üzerinden 8.
Bu güvenlik açıklarından yararlanılması, "felaket ve hatta yaşamı tehdit eden sonuçlara" sahip olabilecek birçok olası saldırı senaryosuna izin verecektir, diyor araştırmacılar raporda.
Ucuz Heyecanlar
Kolayca yararlanılabilen GPS izci, mevcut nesil Nesnelerin İnterneti (IoT) cihazlarının birçok riskini vurguluyor, araştırmacılara dikkat edin.
Roger Grimes, Grimes Lifewire'a e-posta yoluyla söyledi. “Cep telefonunuz görüşmelerinizi kaydetmek için tehlikeye girebilir. Sizi ve toplantılarınızı kaydetmek için dizüstü bilgisayarınızın web kamerası açılabilir. Ve arabanızın GPS izleme cihazı belirli çalışanları bulmak ve araçları devre dışı bırakmak için kullanılabilir."
Araştırmacılar, satıcı bir düzeltme sunmadığından şu anda MiCODUS MV720 GPS izleyicisinin belirtilen kusurlara karşı savunmasız kaldığını belirtiyor. Bu nedenle BitSight, bu GPS izleyiciyi kullanan herkesin bir düzeltme sağlanana kadar onu devre dışı bırakmasını önerir.
Bunu temel alan Grimes, IoT cihazlarına yazılım düzeltmeleri yüklemek özellikle zor olduğundan yama uygulamasının başka bir sorun olduğunu açıklıyor. Grimes, “Normal yazılımlara yama yapmanın zor olduğunu düşünüyorsanız, IoT cihazlarına yama yapmak on kat daha zor” dedi.
İdeal bir dünyada, tüm IoT cihazlarında güncellemeleri otomatik olarak yüklemek için otomatik düzeltme eki bulunur. Ancak ne yazık ki Grimes, çoğu IoT cihazının, uygunsuz bir fiziksel bağlantı kullanmak gibi her türlü çemberin içinden geçerek insanların bunları manuel olarak güncellemesini gerektirdiğine dikkat çekiyor.
"Satıcı onları düzeltmeye karar verdiğinde, savunmasız GPS izleme cihazlarının %90'ının savunmasız ve istismar edilebilir kalacağını tahmin ediyorum," dedi Grimes. "IoT cihazları güvenlik açıklarıyla dolu ve bu, bu hikayelerden kaç tanesi ortaya çıkarsa çıksın geleceğe giden değişim.”
