Bezpečnost | Automobily | GPS

Oblíbený čínský GPS tracker do aut je děravý. Útočníci mohou sledovat cizí polohu i na dálku vypnout motor

Miliony automobilů po celém světě ohrožují bezpečnostní nedostatky v oblíbeném GPS trackeru Micodus MV720, prodávaném na Amazonu, Aliexpressu, Ebayi, Alibabě a dalších internetových tržištích za cenu okolo 20 dolarů. Kyberbezpečnostní firma BitSight v úterý 19. července publikovala na svém blogu informaci o nalezení šesti závažných zranitelností, jež jsou relativně snadno zneužitelné.

Smutnou zprávou je, že výrobce – firma Micodus se sídlem v čínském Šen-čenu – nijak nereagoval na snahy o komunikaci ze strany bezpečnostních expertů, ani americké Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA). To znamená, že nevyvinul žádné úsilí o opravu zranitelností a v tuto chvíli nejsou známa žádná řešení, jak bezpečnostní díry zacelit.

Sledování či vypnutí motoru

Dvě ze šesti chyb jsou „kritické“ povahy. Nejpalčivější z nich se týká pevně zakódovaného hesla, které lze zneužít k odeslání SMS příkazů do zařízení. Tuto schopnost je možné využít například ke sledování polohy vozidla v reálném čase, zjišťování absolvovaných tras a případně i k vypnutí přívodu paliva do motoru. Protože je heslo vloženo přímo do kódu aplikace pro Android, může ho najít prakticky kdokoli.

Protože výrobce nekomunikuje, nelze jednoznačně říci, kolika zařízení se výše uvedené problémy týkají. Dle bezpečnostních expertů je aktivních přibližně 1,5 milionu GPS trackerů ve 169 zemích. Zajímavostí je, že v Evropě je nejvíce sledovacích zařízení nainstalováno na Ukrajině.

Mezi více než 420 tisíci zákazníky se objevují významné společnosti, flotily vozidel donucovacích orgánů, provozovatel jaderné elektrárny či armádní a vládní subjekty. Vzhledem k závažnosti chyb a s ohledem na skutečnost, že neexistují žádné opravy, doporučily BitSight i CISA majitelům vozidel, aby tato zařízení co nejdříve odstranili a snížili tak potenciální rizika.

Heslo 123456

Šest zranitelností se liší závažností a možností zneužití, ale všechny kromě jedné jsou hodnoceny jako „velmi“ závažné nebo závažnější. Některé z chyb se nacházejí v samotném zařízení pro sledování polohy, další byly odhaleny ve webovém rozhraní, jež zákazníci používají k monitorování svých vozových parků.

Jedním z problémů je například výchozí heslo nutné pro přístup k zařízení, jež je z výroby nastaveno na 123456. Průzkum ukázal, že v 95 % z tisíce testovaných zařízení majitelé výchozí heslo nezměnili, pravděpodobně proto, že je k tomu aplikace během úvodní konfigurace nevyzvala.

„Pokud Čína dokáže na dálku ovládat vozidla ve Spojených státech, pak máme problém,“ konstatoval Richard Clarke, mezinárodně uznávaný expert na národní bezpečnost a bývalý prezidentský poradce pro kybernetickou bezpečnost. „S rychlým nárůstem používání mobilních zařízení a snahou o větší propojení naší společnosti je snadné přehlédnout skutečnost, že zařízení pro sledování přes GPS, jako jsou tato, mohou výrazně zvýšit kybernetické riziko, pokud nejsou konstruována s ohledem na bezpečnost.“

„Výsledky výzkumu společnosti BitSight zdůrazňují, že mít bezpečnou infrastrukturu internetu věcí je ještě důležitější, když tyto zranitelnosti mohou být snadno zneužity k ovlivnění naší osobní a národní bezpečnosti a vést k extrémním důsledkům, jako je rozsáhlé narušení řízení vozového parku, a dokonce i ke ztrátám na životech." varuje Clarke.

Diskuze (12) Další článek: Google v Rusku schytal zatím nejvyšší pokutu. Šířil extremismus a lži o Ukrajině, tvrdí soud

Témata článku: Internet, Bezpečnost, USA, Android, AliExpress, Amazon, Automobily, Čína, Evropa, Ukrajina, Heslo, GPS, eBay, SMS, Sledování, Dálka, Tracker, Poloha, CISA, Zařízení, Zranitelnost, Šen-Čen, HCE, Motor, Telefony s Androidem na Heureka.cz



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

** Zapomeňte na rozčtverečkovaná místa, kterých si každý všimne ** Mapy.cz musely dokonale zakrýt desítky parabol ** Základnou se přitom na webu chlubí i její majitel. Kocourkov

Jakub Čížek
ČeskoMapy.czMapy
Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

** Aplikace NewProfilePic se na Androidu stala hitem ** Můžete si v ní vytvořit profesionálně vypadající profilovky ** Pozor ale na agresivní cenovou politiku za Pro verzi

Martin Chroust
FotografieUmělá inteligenceMobilní aplikace
Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

** Jak poznat, že váš telefon má nejlepší dny za sebou? ** Vypadá potlučeně, má pavučinu nebo nedostává aktualizace? ** Ukážeme si, kdy má smysl jeho oprava, a kdy už jen koupě nového

Martin Chroust
Prasklý displejVysloužilý mobilSmartphony
Google si i na září připravil několik šikovných drobností, které se brzy dostanou na všechny Androidy

Google si i na září připravil několik šikovných drobností, které se brzy dostanou na všechny Androidy

** Google i v září pošle do Androidů „neviditelný“ update ** Obsahuje sice jen pár drobností, i tak se mohou leckomu hodit ** Nejužitečněji vypadá update funkce Sdílení nablízko

Martin Chroust
Nearby ShareAndroid
Oppo a OnePlus nesmí v Německu prodávat telefony. Zákaz hrozí i v dalších zemích EU

Oppo a OnePlus nesmí v Německu prodávat telefony. Zákaz hrozí i v dalších zemích EU

** Patentové spory většinou ústí k tomu, že jedna z firem zaplatí ** Oppo ani OnePlus však nechtějí platit 2,50 EUR za každý telefon ** Firmy už v Německu nesní prodávat, a to může platit i o dalších trzích

Martin Chroust
NěmeckoPatentSmartphony