US Homeland Security Departments högkvarter i nordvästra Washington är avbildad den 25 februari 2015. En populär kinesisktillverkad GPS-spårare för bilar som används av privatpersoner, statliga myndigheter och företag i 169 länder har allvarliga mjukvarubrister, vilket utgör en potentiell fara för liv och lem , nationell säkerhet och försörjningskedjor, sa cybersäkerhetsforskare i en rapport som släpptes tisdagen den 19 juli 2022, för att sammanfalla med en rådgivning från den amerikanska byrån för cybersäkerhet och infrastruktursäkerhet som listar sex sårbarheter. Kredit: AP Photo/Manuel Balce Ceneta, Arkiv
En populär kinesisk-tillverkad GPS-spårare för bilar som används i 169 länder har allvarliga sårbarheter i mjukvaran, vilket utgör en potentiell fara för motorvägssäkerhet, nationell säkerhet och försörjningskedjor, har cybersäkerhetsforskare funnit.
En rapport från Boston cybersäkerhetsföretaget BitSight säger att bristerna kan låta angripare fjärrkapa enhetutrustade fordon, stänga av bränsle till dem och på annat sätt ta kontrollen medan de reser.
Forskarna säger att användare omedelbart bör inaktivera GPS-spåraren MV720 tills en fix blir tillgänglig. Rapporten släpptes på tisdagen för att sammanfalla med en rådgivning från US Cybersecurity and Infrastructure Security Agency som listar fem sårbarheter.
BitSight sa att det utan framgång försökte i månader – med början i september, med CISA anslöt sig till det i slutet av april – att engagera tillverkaren, Shenzen-baserade MiCODUS, i diskussioner om att ta itu med sårbarheterna. Associated Press ringde och mailade företaget men fick inget svar. En person som svarade på ett telefonnummer som anges på dess webbplats kunde inte svara på engelska.
CISA sa i ett uttalande att de inte var medvetna om “något aktivt utnyttjande” av sårbarheterna.
GPS-spårare används globalt för att övervaka fordonsflottor – från lastbilar till skolbussar till militärfordon – och skydda dem mot stöld. Förutom att samla in data om fordonets plats övervakar de vanligtvis även andra mätvärden, såsom förarens beteende och bränsleförbrukning. Via fjärråtkomst är många kopplade för att stänga av ett fordons bränsle eller larm, låsa eller låsa upp dess dörrar och mer.
Genom att använda MV720, som BitSight säger kostar mindre än 25 USD per enhet, kan en illvillig användare på distans klippa av bränsleledningen för ett fordon i rörelse, veta var ett fordon är i realtid för spioneri eller fånga upp och smutsa ner plats eller annan data för att sabotera operationer, sa den huvudsakliga BitSight-forskaren i projektet, Pedro Umbelino.
Han sa att flera skadliga scenarier är möjliga: Försträddares fordon kan bli lamslagna, eller så kan en hackare stänga av en motor och kräva en lösensumma i kryptovaluta för att undvika att ringa en mekaniker.
De huvudsakliga sårbarheterna: Enheten kommer med ett standardlösenord som mer än 90 % av användarna inte ändrar, och det finns ett andra, oklart men hårdkodat lösenord som fungerar för alla enheter, fann BitSight. Den hittade också säkerhetsbrister i programvaran på webbservern som används för att fjärrstyra GPS-enheterna.
Tillverkaren MiCODUS hävdar en installerad bas på 1,5 miljoner enheter över 420 000 kunder, säger BitSight. Dess forskning visade att de inkluderade ett Fortune 50-energibolag och ett flygbolag, en nationell militär i Sydamerika och i östra Europa, en kärnkraftverksoperatör och en nationell brottsbekämpande myndighet i västra Europa. Den namngav ingen av dem. Länder med flest användare inkluderade, per kontinent: Brasilien, Mexiko, Spanien och Ryssland.
Richard Clarke, USA:s före detta tsar för cybersäkerhet, kallade den osäkra GPS-enheten ännu ett exempel på en smart kinesiskt tillverkad produkt “som ringer hem och kan användas med uppsåt av den kinesiska regeringen.”
Medan Clarke sa att han tvivlade på att spåraren var designad för det ändamålet, är faran verklig eftersom kinesiska företag är skyldiga enligt lag att följa sin regerings order – vilket är anledningen till att Washington har försökt att minimera kinesiska komponenter i amerikanska telekomnätverk och varför vissa i kongressen driver på för ett förbud mot amerikanska myndigheters köp av kinesiska drönare.
“Du undrar bara, hur ofta kommer vi att hitta dessa saker som är infrastruktur – där det finns en potential för kinesiska övergrepp – och användarna inte vet?” sa Clarke.
“Smart” manlig kyskhetsanordning som är sårbar för låsning av hackare: forskare
© 2022 Associated Press. Alla rättigheter förbehållna. Detta material får inte publiceras, sändas, skrivas om eller vidaredistribueras utan tillstånd.
Citat:Forskare: Kinesisktillverkad GPS-spårare mycket sårbar (2022, 19 juli)hämtad 19 juli 2022 från https://techxplore.com/news/2022-07-chinese-made-gps-tracker-highly-vulnerable.html
Detta dokument är föremål för upphovsrätt. Bortsett från all rättvis handel i syfte att privata studier eller forskning, får ingen del reproduceras utan skriftligt tillstånd. Innehållet tillhandahålls endast i informationssyfte.
Håll kontakten med oss på sociala medieplattformar för omedelbar uppdatering klicka här för att gå med i vår Twitter och Facebook
