Princípios importantes
- Pesquisadores descobriram vulnerabilidades críticas em um popular rastreador GPS usado em milhões de veículos.
- Os bugs permanecem sem correção, pois o fabricante não conseguiu se envolver com os pesquisadores e até mesmo com a Agência de Segurança Cibernética e Infraestrutura (CISA).
- Esta é apenas uma manifestação física de um problema subjacente a todo o ecossistema de dispositivos inteligentes, sugerem especialistas em segurança.
Pesquisadores de segurança descobriram sérias vulnerabilidades em um popular rastreador GPS que é usado em mais de um milhão de veículos em todo o mundo.
De acordo com os pesquisadores do fornecedor de segurança BitSight, se exploradas, as seis vulnerabilidades no rastreador GPS do veículo MiCODUS MV720 podem permitir que os agentes de ameaças acessem e controlem as funções do dispositivo, incluindo rastrear o veículo ou cortar seu combustível fornecer. Embora os especialistas em segurança tenham manifestado preocupação com a f alta de segurança em dispositivos inteligentes habilitados para Internet em geral, a pesquisa da BitSight é particularmente preocupante para nossa privacidade e segurança.
“Infelizmente, essas vulnerabilidades não são difíceis de explorar”, observou Pedro Umbelino, principal pesquisador de segurança da BitSight, em um comunicado à imprensa. “Falhas básicas na arquitetura geral do sistema deste fornecedor levantam questões significativas sobre a vulnerabilidade de outros modelos.”
Controle Remoto
No relatório, a BitSight diz que se concentrou no MV720, pois era o modelo mais barato da empresa que oferece recursos antifurto, corte de combustível, controle remoto e geofencing. O rastreador habilitado para celular usa um cartão SIM para transmitir suas atualizações de status e localização para servidores de suporte e foi projetado para receber comandos de seus proprietários legítimos via SMS.
BitSight afirma que descobriu as vulnerabilidades sem muito esforço. Ele até desenvolveu um código de prova de conceito (PoCs) para cinco das falhas, a fim de demonstrar que as vulnerabilidades podem ser exploradas à solta por maus atores.
E não são apenas os indivíduos que podem ser afetados. Os rastreadores são populares entre empresas e agências governamentais, militares e policiais. Isso levou os pesquisadores a compartilhar sua pesquisa com a CISA depois que ela não obteve uma resposta positiva do fabricante e fornecedor de eletrônicos e acessórios automotivos com sede em Shenzhen, China.
Depois que a CISA também não obteve uma resposta do MiCODUS, a agência assumiu a responsabilidade de adicionar os bugs à lista Common Vulnerabilities and Exposures (CVE) e atribuiu a eles uma pontuação do Common Vulnerability Scoring System (CVSS), com alguns deles ganhando uma pontuação crítica de gravidade de 9.8 de 10.
A exploração dessas vulnerabilidades permitiria muitos cenários de ataque possíveis, que poderiam ter “implicações desastrosas e até fatais”, observam os pesquisadores no relatório.
Emoções Baratas
O rastreador GPS facilmente explorável destaca muitos dos riscos com a geração atual de dispositivos da Internet das Coisas (IoT), observam os pesquisadores.
Roger Grimes, Grimes disse à Lifewire por e-mail. “Seu celular pode ser comprometido para gravar suas conversas. A webcam do seu laptop pode ser ligada para gravar você e suas reuniões. E o dispositivo de rastreamento por GPS do seu carro pode ser usado para encontrar funcionários específicos e desativar veículos.”
Os pesquisadores observam que, atualmente, o rastreador GPS MiCODUS MV720 permanece vulnerável às falhas mencionadas, pois o fornecedor não disponibilizou uma correção. Devido a isso, a BitSight recomenda que qualquer pessoa que use este rastreador GPS o desative até que uma correção seja disponibilizada.
Com base nisso, Grimes explica que a correção apresenta outro problema, pois é particularmente difícil instalar correções de software em dispositivos IoT. “Se você acha que é difícil corrigir software comum, é dez vezes mais difícil corrigir dispositivos IoT”, disse Grimes.
Em um mundo ideal, todos os dispositivos IoT teriam correção automática para instalar qualquer atualização automaticamente. Mas, infelizmente, Grimes aponta que a maioria dos dispositivos de IoT exige que as pessoas os atualizem manualmente, passando por todos os tipos de obstáculos, como usar uma conexão física inconveniente.
"Eu especularia que 90% dos dispositivos de rastreamento GPS vulneráveis permanecerão vulneráveis e exploráveis se e quando o fornecedor realmente decidir consertá-los", disse Grimes. "Os dispositivos de IoT estão cheios de vulnerabilidades, e isso não mudança indo para o futuro, não importa quantas dessas histórias saiam.”