Հիմնական տանողներ
- Հետազոտողները հայտնաբերել են կարևոր խոցելիություններ հանրահայտ GPS թրեյքերում, որն օգտագործվում է միլիոնավոր մեքենաներում:
- Սխալները մնում են չփակված, քանի որ արտադրողը չի կարողացել համագործակցել հետազոտողների և նույնիսկ Կիբերանվտանգության և ենթակառուցվածքների անվտանգության գործակալության (CISA) հետ:
- Սա ընդամենը խելացի սարքերի ամբողջ էկոհամակարգի հիմքում ընկած խնդրի ֆիզիկական դրսևորումն է, առաջարկում են անվտանգության փորձագետները:
Անվտանգության հետազոտողները լուրջ խոցելիություններ են հայտնաբերել հանրաճանաչ GPS թրեյքերում, որն օգտագործվում է ավելի քան մեկ միլիոն մեքենաներում ամբողջ աշխարհում:
Անվտանգության մատակարար BitSight-ի հետազոտողների կարծիքով, MiCODUS MV720 ավտոմեքենայի GPS որսիչի վեց խոցելիությունները շահագործման դեպքում կարող են թույլ տալ սպառնալիքի դերակատարներին մուտք գործել և կառավարել սարքի գործառույթները, ներառյալ մեքենային հետևելը կամ վառելիքի անջատումը: մատակարարում. Թեև անվտանգության փորձագետները մտահոգություն են հայտնել ընդհանուր առմամբ խելացի, ինտերնետով աշխատող սարքերի թույլ անվտանգության վերաբերյալ, BitSight-ի հետազոտությունը հատկապես մտահոգիչ է ինչպես մեր գաղտնիության, այնպես էլ անվտանգության համար:
«Ցավոք, այս խոցելիությունը դժվար չէ օգտագործել», - նշել է BitSight-ի անվտանգության գլխավոր հետազոտող Պեդրո Ումբելինոն մամուլի հաղորդագրության մեջ: «Այս վաճառողի ընդհանուր համակարգի ճարտարապետության հիմնական թերությունները զգալի հարցեր են առաջացնում այլ մոդելների խոցելիության վերաբերյալ»:
Հեռակառավարում
Զեկույցում BitSight-ն ասում է, որ այն զրոյացրել է MV720-ը, քանի որ այն ընկերության ամենաթանկ մոդելն է, որն առաջարկում է հակագողության, վառելիքի անջատման, հեռակառավարման և աշխարհազարդման հնարավորություններ:Բջջային կապի հնարավորություն ունեցող թրեյքերն օգտագործում է SIM քարտ՝ իր կարգավիճակի և տեղադրության թարմացումները աջակցող սերվերներին փոխանցելու համար և նախատեսված է օրինական սեփականատերերից SMS-ի միջոցով հրամաններ ստանալու համար:
BitSight-ը պնդում է, որ հայտնաբերել է խոցելիությունը առանց մեծ ջանքերի: Այն նույնիսկ մշակել է հայեցակարգի ապացույց (PoCs) կոդը հինգ թերությունների համար, որպեսզի ցույց տա, որ խոցելիությունները կարող են օգտագործվել վայրի բնության մեջ վատ դերակատարների կողմից:
Եվ ոչ միայն անհատները կարող են տուժել: Թրեքերները հայտնի են ընկերությունների, ինչպես նաև պետական, ռազմական և իրավապահ մարմինների կողմից: Սա ստիպեց հետազոտողներին կիսվել իրենց հետազոտություններով CISA-ի հետ այն բանից հետո, երբ այն չկարողացավ դրական արձագանք ստանալ Շենժենում (Չինաստան) ավտոմոբիլային էլեկտրոնիկայի և աքսեսուարների արտադրողից և մատակարարից:
Այն բանից հետո, երբ CISA-ն նույնպես չկարողացավ պատասխան ստանալ MiCODUS-ից, գործակալությունը պարտավորվեց ավելացնել սխալները Ընդհանուր խոցելիության և բացահայտումների (CVE) ցուցակում և նրանց նշանակեց Ընդհանուր խոցելիության գնահատման համակարգ (CVSS), նրանցից մի քանիսը ստացել են ծանրության կրիտիկական 9 միավոր:8-ը 10-ից.
Այս խոցելիությունների շահագործումը թույլ կտա հարձակման բազմաթիվ հնարավոր սցենարներ, որոնք կարող են ունենալ «աղետաբեր և նույնիսկ կյանքին սպառնացող հետևանքներ», նշում են հետազոտողները զեկույցում:
էժան հուզումներ
Հեշտ շահագործվող GPS-ը ընդգծում է իրերի ինտերնետի (IoT) սարքերի ներկայիս սերնդի բազմաթիվ ռիսկերը, նշում են հետազոտողները:
Ռոջեր Գրայմսը, Գրայմսը Lifewire-ին էլ. «Ձեր բջջային հեռախոսը կարող է վտանգվել ձեր խոսակցությունները ձայնագրելու համար: Ձեր նոութբուքի վեբ-տեսախցիկը կարող է միացված լինել՝ ձեզ և ձեր հանդիպումները ձայնագրելու համար: Եվ ձեր մեքենայի GPS հետևող սարքը կարող է օգտագործվել կոնկրետ աշխատակիցներ գտնելու և տրանսպորտային միջոցներ անջատելու համար»:
Հետազոտողները նշում են, որ ներկայումս MiCODUS MV720 GPS-ը խոցելի է մնում նշված թերությունների նկատմամբ, քանի որ վաճառողը շտկում չի արել: Դրա շնորհիվ BitSight-ը խորհուրդ է տալիս բոլորին, ովքեր օգտվում են այս GPS թրեյքերից, անջատեն այն մինչև շտկման հասանելիությունը:
Հիմնվելով սրա վրա՝ Գրայմսը բացատրում է, որ կարկատելը ներկայացնում է մեկ այլ խնդիր, քանի որ հատկապես դժվար է IoT սարքերում ծրագրային շտկումներ տեղադրելը: «Եթե կարծում եք, որ դժվար է կարկատել սովորական ծրագրակազմը, ապա տասն անգամ ավելի դժվար է կարկատել IoT սարքերը», - ասաց Գրայմսը:
Իդեալական աշխարհում բոլոր IoT սարքերը կունենան ավտոմատ կարկատում՝ ցանկացած թարմացում ավտոմատ տեղադրելու համար: Սակայն, ցավոք, Գրայմսը նշում է, որ IoT սարքերից շատերը պահանջում են, որ մարդիկ ձեռքով թարմացնեն դրանք՝ անցնելով բոլոր տեսակի օղակների միջով, օրինակ՝ օգտագործելով անհարմար ֆիզիկական կապ:
«Ես կենթադրեի, որ խոցելի GPS հետևող սարքերի 90%-ը կմնա խոցելի և շահագործելի, եթե և երբ վաճառողը իրականում որոշի դրանք շտկել», - ասաց Գրայմսը: «IoT սարքերը լի են խոցելիություններով, և դա չի լինի: փոխվել դեպի ապագա, անկախ նրանից, թե այս պատմություններից քանիսն են հայտնվում»:
