Bezpečnost | Automobily | GPS

Oblíbený čínský GPS tracker do aut je děravý. Útočníci mohou sledovat cizí polohu i na dálku vypnout motor

Miliony automobilů po celém světě ohrožují bezpečnostní nedostatky v oblíbeném GPS trackeru Micodus MV720, prodávaném na Amazonu, Aliexpressu, Ebayi, Alibabě a dalších internetových tržištích za cenu okolo 20 dolarů. Kyberbezpečnostní firma BitSight v úterý 19. července publikovala na svém blogu informaci o nalezení šesti závažných zranitelností, jež jsou relativně snadno zneužitelné.

Smutnou zprávou je, že výrobce – firma Micodus se sídlem v čínském Šen-čenu – nijak nereagoval na snahy o komunikaci ze strany bezpečnostních expertů, ani americké Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA). To znamená, že nevyvinul žádné úsilí o opravu zranitelností a v tuto chvíli nejsou známa žádná řešení, jak bezpečnostní díry zacelit.

Sledování či vypnutí motoru

Dvě ze šesti chyb jsou „kritické“ povahy. Nejpalčivější z nich se týká pevně zakódovaného hesla, které lze zneužít k odeslání SMS příkazů do zařízení. Tuto schopnost je možné využít například ke sledování polohy vozidla v reálném čase, zjišťování absolvovaných tras a případně i k vypnutí přívodu paliva do motoru. Protože je heslo vloženo přímo do kódu aplikace pro Android, může ho najít prakticky kdokoli.

Protože výrobce nekomunikuje, nelze jednoznačně říci, kolika zařízení se výše uvedené problémy týkají. Dle bezpečnostních expertů je aktivních přibližně 1,5 milionu GPS trackerů ve 169 zemích. Zajímavostí je, že v Evropě je nejvíce sledovacích zařízení nainstalováno na Ukrajině.

Mezi více než 420 tisíci zákazníky se objevují významné společnosti, flotily vozidel donucovacích orgánů, provozovatel jaderné elektrárny či armádní a vládní subjekty. Vzhledem k závažnosti chyb a s ohledem na skutečnost, že neexistují žádné opravy, doporučily BitSight i CISA majitelům vozidel, aby tato zařízení co nejdříve odstranili a snížili tak potenciální rizika.

Heslo 123456

Šest zranitelností se liší závažností a možností zneužití, ale všechny kromě jedné jsou hodnoceny jako „velmi“ závažné nebo závažnější. Některé z chyb se nacházejí v samotném zařízení pro sledování polohy, další byly odhaleny ve webovém rozhraní, jež zákazníci používají k monitorování svých vozových parků.

Jedním z problémů je například výchozí heslo nutné pro přístup k zařízení, jež je z výroby nastaveno na 123456. Průzkum ukázal, že v 95 % z tisíce testovaných zařízení majitelé výchozí heslo nezměnili, pravděpodobně proto, že je k tomu aplikace během úvodní konfigurace nevyzvala.

„Pokud Čína dokáže na dálku ovládat vozidla ve Spojených státech, pak máme problém,“ konstatoval Richard Clarke, mezinárodně uznávaný expert na národní bezpečnost a bývalý prezidentský poradce pro kybernetickou bezpečnost. „S rychlým nárůstem používání mobilních zařízení a snahou o větší propojení naší společnosti je snadné přehlédnout skutečnost, že zařízení pro sledování přes GPS, jako jsou tato, mohou výrazně zvýšit kybernetické riziko, pokud nejsou konstruována s ohledem na bezpečnost.“

„Výsledky výzkumu společnosti BitSight zdůrazňují, že mít bezpečnou infrastrukturu internetu věcí je ještě důležitější, když tyto zranitelnosti mohou být snadno zneužity k ovlivnění naší osobní a národní bezpečnosti a vést k extrémním důsledkům, jako je rozsáhlé narušení řízení vozového parku, a dokonce i ke ztrátám na životech." varuje Clarke.

Diskuze (12) Další článek: Google v Rusku schytal zatím nejvyšší pokutu. Šířil extremismus a lži o Ukrajině, tvrdí soud

Témata článku: Internet, Bezpečnost, Android, USA, Amazon, AliExpress, Automobily, Čína, eBay, Evropa, Ukrajina, Sledování, GPS, Heslo, SMS, Poloha, Dálka, Motor, HCE, Zařízení, Zranitelnost, Šen-Čen, CISA, Tracker, Telefony s Androidem na Heureka.cz



Proč ze smartphonů mizí QHD displeje? Strategie výrobců se změnila, už se neženou za co největší jemností

Proč ze smartphonů mizí QHD displeje? Strategie výrobců se změnila, už se neženou za co největší jemností

** QHD displeje se před sedmi lety dostaly do top smartphonů ** Po letech však v mobilech stále dominuje Full HD ** Je to krokem zpět, a kde se vlastně stala „chyba“?

Martin Chroust
DisplejeHistorieSmartphony
Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

** Jak poznat, že je váš smartphone hacknutý? ** Hledejte známky po nestandardním chování telefonu ** Stačí když telefon vydrží méně nebo topí i v klidovém režimu...

Martin Chroust
Jak...Malware