Da asporto chiave
- I ricercatori hanno scoperto vulnerabilità critiche in un popolare localizzatore GPS utilizzato in milioni di veicoli.
- I bug rimangono senza patch poiché il produttore non è riuscito a interagire con i ricercatori e nemmeno con la Cybersecurity and Infrastructure Security Agency (CISA).
- Questa è solo una manifestazione fisica di un problema alla base dell'intero ecosistema dei dispositivi intelligenti, suggeriscono gli esperti di sicurezza.
I ricercatori della sicurezza hanno scoperto gravi vulnerabilità in un popolare localizzatore GPS utilizzato in oltre un milione di veicoli in tutto il mondo.
Secondo i ricercatori con il fornitore di sicurezza BitSight, se sfruttate, le sei vulnerabilità nel localizzatore GPS per veicoli MiCODUS MV720 potrebbero consentire agli attori delle minacce di accedere e controllare le funzioni del dispositivo, incluso il tracciamento del veicolo o l'interruzione del carburante la fornitura. Mentre gli esperti di sicurezza hanno espresso preoccupazione per la scarsa sicurezza dei dispositivi intelligenti abilitati a Internet in generale, la ricerca BitSight è particolarmente preoccupante sia per la nostra privacy che per la sicurezza.
"Purtroppo, queste vulnerabilità non sono difficili da sfruttare", ha osservato Pedro Umbelino, principale ricercatore di sicurezza presso BitSight, in un comunicato stampa. "I difetti di base nell'architettura di sistema generale di questo fornitore sollevano interrogativi significativi sulla vulnerabilità di altri modelli."
Telecomando
Nel rapporto, BitSight afferma di essersi concentrato sull'MV720 poiché era il modello meno costoso dell'azienda che offre funzionalità di antifurto, interruzione del carburante, controllo remoto e geofencing. Il localizzatore cellulare utilizza una scheda SIM per trasmettere gli aggiornamenti di stato e posizione ai server di supporto ed è progettato per ricevere comandi dai suoi legittimi proprietari tramite SMS.
BitSight afferma di aver scoperto le vulnerabilità senza troppi sforzi. Ha anche sviluppato un codice proof of concept (PoC) per cinque dei difetti al fine di dimostrare che le vulnerabilità possono essere sfruttate in natura da malintenzionati.
E non sono solo gli individui a essere colpiti. I tracker sono apprezzati dalle aziende, nonché dalle agenzie governative, militari e delle forze dell'ordine. Ciò ha portato i ricercatori a condividere la loro ricerca con la CISA dopo che non è riuscita a ottenere una risposta positiva da Shenzhen, produttore e fornitore cinese di elettronica e accessori per autoveicoli.
Dopo che anche il CISA non è riuscito a ottenere una risposta da MiCODUS, l'agenzia si è incaricata di aggiungere i bug all'elenco Common Vulnerabilities and Exposures (CVE) e ha assegnato loro un punteggio Common Vulnerability Scoring System (CVSS), con un paio di loro che hanno ottenuto un punteggio di gravità critica di 9.8 su 10.
Lo sfruttamento di queste vulnerabilità consentirebbe molti possibili scenari di attacco, che potrebbero avere "implicazioni disastrose e persino pericolose per la vita", osservano i ricercatori nel rapporto.
Emozioni economiche
Il localizzatore GPS facilmente sfruttabile evidenzia molti dei rischi con l'attuale generazione di dispositivi Internet of Things (IoT), osservano i ricercatori.
Roger Grimes, ha detto Grimes a Lifewire via e-mail. “Il tuo cellulare può essere compromesso per registrare le tue conversazioni. La webcam del tuo laptop può essere attivata per registrare te e le tue riunioni. E il dispositivo di localizzazione GPS della tua auto può essere utilizzato per trovare dipendenti specifici e disabilitare i veicoli.”
I ricercatori osservano che attualmente il localizzatore GPS MiCODUS MV720 rimane vulnerabile ai difetti menzionati poiché il fornitore non ha reso disponibile una correzione. Per questo motivo, BitSight consiglia a chiunque utilizzi questo localizzatore GPS di disabilitarlo fino a quando non sarà disponibile una correzione.
Basandosi su questo, Grimes spiega che l'applicazione di patch presenta un altro problema, poiché è particolarmente difficile installare correzioni software sui dispositivi IoT. "Se pensi che sia difficile applicare patch al software normale, è dieci volte più difficile applicare patch ai dispositivi IoT", ha affermato Grimes.
In un mondo ideale, tutti i dispositivi IoT avrebbero l'auto-patch per installare automaticamente gli aggiornamenti. Ma sfortunatamente, Grimes sottolinea che la maggior parte dei dispositivi IoT richiede alle persone di aggiornarli manualmente, s altando attraverso tutti i tipi di ostacoli come l'utilizzo di una connessione fisica scomoda.
"Suppongo che il 90% dei dispositivi di localizzazione GPS vulnerabili rimarrà vulnerabile e sfruttabile se e quando il fornitore deciderà effettivamente di risolverli", ha affermato Grimes. "I dispositivi IoT sono pieni di vulnerabilità, e questo non lo farà cambia in futuro, non importa quante di queste storie usciranno.”