Miliony automobilů po celém světě ohrožují bezpečnostní nedostatky v oblíbeném GPS trackeru Micodus MV720, prodávaném na Amazonu, Aliexpressu, Ebayi, Alibabě a dalších internetových tržištích za cenu okolo 20 dolarů. Kyberbezpečnostní firma BitSight v úterý 19. července publikovala na svém blogu informaci o nalezení šesti závažných zranitelností, jež jsou relativně snadno zneužitelné.
Smutnou zprávou je, že výrobce – firma Micodus se sídlem v čínském Šen-čenu – nijak nereagoval na snahy o komunikaci ze strany bezpečnostních expertů, ani americké Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA). To znamená, že nevyvinul žádné úsilí o opravu zranitelností a v tuto chvíli nejsou známa žádná řešení, jak bezpečnostní díry zacelit.
Sledování či vypnutí motoru
Dvě ze šesti chyb jsou „kritické“ povahy. Nejpalčivější z nich se týká pevně zakódovaného hesla, které lze zneužít k odeslání SMS příkazů do zařízení. Tuto schopnost je možné využít například ke sledování polohy vozidla v reálném čase, zjišťování absolvovaných tras a případně i k vypnutí přívodu paliva do motoru. Protože je heslo vloženo přímo do kódu aplikace pro Android, může ho najít prakticky kdokoli.
Protože výrobce nekomunikuje, nelze jednoznačně říci, kolika zařízení se výše uvedené problémy týkají. Dle bezpečnostních expertů je aktivních přibližně 1,5 milionu GPS trackerů ve 169 zemích. Zajímavostí je, že v Evropě je nejvíce sledovacích zařízení nainstalováno na Ukrajině.
Mezi více než 420 tisíci zákazníky se objevují významné společnosti, flotily vozidel donucovacích orgánů, provozovatel jaderné elektrárny či armádní a vládní subjekty. Vzhledem k závažnosti chyb a s ohledem na skutečnost, že neexistují žádné opravy, doporučily BitSight i CISA majitelům vozidel, aby tato zařízení co nejdříve odstranili a snížili tak potenciální rizika.
Heslo 123456
Šest zranitelností se liší závažností a možností zneužití, ale všechny kromě jedné jsou hodnoceny jako „velmi“ závažné nebo závažnější. Některé z chyb se nacházejí v samotném zařízení pro sledování polohy, další byly odhaleny ve webovém rozhraní, jež zákazníci používají k monitorování svých vozových parků.
Jedním z problémů je například výchozí heslo nutné pro přístup k zařízení, jež je z výroby nastaveno na 123456. Průzkum ukázal, že v 95 % z tisíce testovaných zařízení majitelé výchozí heslo nezměnili, pravděpodobně proto, že je k tomu aplikace během úvodní konfigurace nevyzvala.
„Pokud Čína dokáže na dálku ovládat vozidla ve Spojených státech, pak máme problém,“ konstatoval Richard Clarke, mezinárodně uznávaný expert na národní bezpečnost a bývalý prezidentský poradce pro kybernetickou bezpečnost. „S rychlým nárůstem používání mobilních zařízení a snahou o větší propojení naší společnosti je snadné přehlédnout skutečnost, že zařízení pro sledování přes GPS, jako jsou tato, mohou výrazně zvýšit kybernetické riziko, pokud nejsou konstruována s ohledem na bezpečnost.“
„Výsledky výzkumu společnosti BitSight zdůrazňují, že mít bezpečnou infrastrukturu internetu věcí je ještě důležitější, když tyto zranitelnosti mohou být snadno zneužity k ovlivnění naší osobní a národní bezpečnosti a vést k extrémním důsledkům, jako je rozsáhlé narušení řízení vozového parku, a dokonce i ke ztrátám na životech." varuje Clarke.
