ซื้อกลับบ้านที่สำคัญ
- นักวิจัยค้นพบช่องโหว่ที่สำคัญในตัวติดตาม GPS ยอดนิยมที่ใช้ในยานพาหนะหลายล้านคัน
- ข้อบกพร่องยังคงไม่ได้รับการแก้ไขเนื่องจากผู้ผลิตล้มเหลวในการมีส่วนร่วมกับนักวิจัยและแม้แต่ Cybersecurity and Infrastructure Security Agency (CISA)
- นี่เป็นเพียงการแสดงให้เห็นทางกายภาพของปัญหาที่อยู่ภายใต้ระบบนิเวศของอุปกรณ์อัจฉริยะทั้งหมด ขอแนะนำผู้เชี่ยวชาญด้านความปลอดภัย
นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ร้ายแรงในตัวติดตาม GPS ยอดนิยมที่ใช้ในรถยนต์กว่าล้านคันทั่วโลก
ตามที่นักวิจัยกับผู้ให้บริการด้านความปลอดภัย BitSight ระบุว่า หากถูกโจมตี ช่องโหว่ 6 ประการในตัวติดตาม GPS ของยานพาหนะ MiCODUS MV720 อาจทำให้ผู้คุกคามเข้าถึงและควบคุมการทำงานของอุปกรณ์ รวมถึงการติดตามยานพาหนะหรือการตัดน้ำมันเชื้อเพลิง จัดหา. ในขณะที่ผู้เชี่ยวชาญด้านความปลอดภัยได้แสดงความกังวลเกี่ยวกับความปลอดภัยที่หละหลวมในอุปกรณ์อัจฉริยะที่เปิดใช้งานอินเทอร์เน็ตโดยรวม การวิจัย BitSight นั้นน่าเป็นห่วงอย่างยิ่งต่อความเป็นส่วนตัวและความปลอดภัยของเรา
“น่าเสียดายที่ช่องโหว่เหล่านี้ไม่ยากที่จะใช้ประโยชน์” Pedro Umbelino นักวิจัยด้านความปลอดภัยหลักของ BitSight กล่าวในการแถลงข่าว “ข้อบกพร่องพื้นฐานในสถาปัตยกรรมระบบโดยรวมของผู้ขายรายนี้ทำให้เกิดคำถามที่สำคัญเกี่ยวกับช่องโหว่ของรุ่นอื่นๆ"
รีโมทคอนโทรล
ในรายงาน BitSight กล่าวว่ามันทำให้ MV720 เป็นศูนย์ เนื่องจากเป็นรุ่นที่ถูกที่สุดของบริษัทที่มีความสามารถในการป้องกันการโจรกรรม การตัดน้ำมันเชื้อเพลิง การควบคุมระยะไกล และความสามารถในการกำหนดตำแหน่งทางภูมิศาสตร์ตัวติดตามที่เปิดใช้งานมือถือใช้ซิมการ์ดเพื่อส่งสถานะและการอัปเดตตำแหน่งไปยังเซิร์ฟเวอร์ที่รองรับและได้รับการออกแบบให้รับคำสั่งจากเจ้าของที่ถูกต้องผ่านทาง SMS
BitSight อ้างว่าค้นพบช่องโหว่โดยไม่ต้องใช้ความพยายามมากนัก มันยังพัฒนาโค้ด Proof of Concept (PoCs) สำหรับข้อบกพร่องห้าประการเพื่อแสดงให้เห็นว่าช่องโหว่สามารถใช้ประโยชน์ได้ในป่าโดยผู้ไม่หวังดี
และไม่ใช่แค่บุคคลที่ได้รับผลกระทบ เครื่องมือติดตามได้รับความนิยมจากบริษัทต่างๆ เช่นเดียวกับหน่วยงานรัฐบาล กองทัพ และหน่วยงานบังคับใช้กฎหมาย สิ่งนี้ทำให้นักวิจัยแบ่งปันงานวิจัยของพวกเขากับ CISA หลังจากที่ล้มเหลวในการกระตุ้นให้เกิดการตอบรับเชิงบวกจากเซินเจิ้น ผู้ผลิตและผู้จำหน่ายอุปกรณ์อิเล็กทรอนิกส์สำหรับยานยนต์และอุปกรณ์เสริมในจีน
หลังจากที่ CISA ไม่ได้รับการตอบสนองจาก MiCODUS หน่วยงานก็รับหน้าที่เพิ่มข้อบกพร่องในรายการช่องโหว่ทั่วไปและการเปิดเผย (CVE) และกำหนดคะแนน Common Vulnerability Scoring System (CVSS) ให้กับพวกเขา โดยสองคนนี้ได้รับคะแนนความรุนแรงระดับวิกฤตเท่ากับ 98 จาก 10.
การใช้ประโยชน์จากช่องโหว่เหล่านี้จะช่วยให้เกิดสถานการณ์การโจมตีที่เป็นไปได้มากมาย ซึ่งอาจ “มีนัยยะที่อาจเป็นอันตรายถึงชีวิตได้” นักวิจัยระบุในรายงานนี้
ตื่นเต้นราคาถูก
ตัวติดตาม GPS ที่ใช้ประโยชน์ได้ง่ายเน้นย้ำถึงความเสี่ยงมากมายด้วยอุปกรณ์ Internet of Things (IoT) รุ่นปัจจุบัน นักวิจัยโปรดทราบ
โรเจอร์ ไกรมส์ ไกรมส์บอกกับ Lifewire ทางอีเมล “โทรศัพท์มือถือของคุณอาจถูกบุกรุกเพื่อบันทึกการสนทนาของคุณ คุณสามารถเปิดเว็บแคมของแล็ปท็อปเพื่อบันทึกคุณและการประชุมของคุณได้ และอุปกรณ์ติดตาม GPS ในรถยนต์ของคุณสามารถใช้เพื่อค้นหาพนักงานที่เฉพาะเจาะจงและปิดการใช้งานยานพาหนะได้”
นักวิจัยตั้งข้อสังเกตว่าขณะนี้เครื่องติดตาม GPS MiCODUS MV720 ยังคงมีความเสี่ยงต่อข้อบกพร่องดังกล่าวเนื่องจากผู้ขายไม่ได้ทำการแก้ไข ด้วยเหตุนี้ BitSight ขอแนะนำให้ทุกคนที่ใช้ตัวติดตาม GPS นี้ปิดการใช้งานจนกว่าจะมีการแก้ไข
ต่อจากนี้ Grimes อธิบายว่าการแพตช์ทำให้เกิดปัญหาอีกอย่างหนึ่ง เนื่องจากเป็นการยากที่จะติดตั้งโปรแกรมแก้ไขซอฟต์แวร์บนอุปกรณ์ IoT “ถ้าคุณคิดว่ามันยากในการแพตช์ซอฟต์แวร์ทั่วไป มันก็ยากกว่าการแพตช์อุปกรณ์ IoT ถึงสิบเท่า” ไกรมส์กล่าว
ในโลกอุดมคติ อุปกรณ์ IoT ทั้งหมดจะมีการแก้ไขอัตโนมัติเพื่อติดตั้งการอัปเดตโดยอัตโนมัติ แต่น่าเสียดายที่ Grimes ชี้ให้เห็นว่าอุปกรณ์ IoT ส่วนใหญ่ต้องการให้ผู้คนอัปเดตด้วยตนเอง โดยต้องข้ามผ่านห่วงต่างๆ เช่น การใช้การเชื่อมต่อทางกายภาพที่ไม่สะดวก
ฉันเดาว่า 90% ของอุปกรณ์ติดตาม GPS ที่มีช่องโหว่จะยังคงมีความเสี่ยงและใช้ประโยชน์ได้หากและเมื่อผู้ขายตัดสินใจที่จะแก้ไขปัญหาเหล่านี้จริง ๆ” กริมส์กล่าว “อุปกรณ์ IoT เต็มไปด้วยช่องโหว่และสิ่งนี้จะไม่ เปลี่ยนไปสู่อนาคตไม่ว่าจะออกมากี่เรื่องก็ตาม”
