Негизги алып салуулар
- Изилдөөчүлөр миллиондогон унааларда колдонулган таанымал GPS трекеринин олуттуу кемчиликтерин табышты.
- Өндүрүүчү изилдөөчүлөр, атүгүл Киберкоопсуздук жана инфраструктуралык коопсуздук агенттиги (CISA) менен байланыша албагандыктан, мүчүлүштүктөр жаңыртыла элек.
- Бул акылдуу түзмөктүн бүтүндөй экосистемасынын негизинде жаткан маселенин физикалык көрүнүшү гана, коопсуздук боюнча эксперттер сунуштайт.
Коопсуздук боюнча изилдөөчүлөр дүйнө жүзү боюнча миллиондон ашык унаада колдонулган популярдуу GPS трекериндеги олуттуу кемчиликтерди аныкташты.
Коопсуздук камсыздоочу BitSight менен изилдөөчүлөрдүн айтымында, эгер пайдаланылса, MiCODUS MV720 унаасынын GPS трекериндеги алты аялуу коркунучтун катышуучуларына аппараттын функцияларына, анын ичинде унаага көз салуу же анын күйүүчү майын өчүрүү мүмкүнчүлүгүнө жетүү жана көзөмөлдөө мүмкүнчүлүгүн берет. камсыз кылуу. Коопсуздук боюнча эксперттер жалпысынан акылдуу, интернет иштетилген түзмөктөрдөгү коопсуздуктун начардыгына тынчсызданууларын билдиришкени менен, BitSight изилдөөсү купуялыгыбыз жана коопсуздугубуз үчүн өзгөчө кооптондурат.
“Тилекке каршы, бул алсыздыктарды пайдалануу кыйын эмес”, - деп белгиледи Педро Умбелино, BitSight компаниясынын коопсуздук боюнча башкы изилдөөчүсү, пресс-релизинде. "Бул сатуучунун жалпы тутумунун архитектурасындагы негизги мүчүлүштүктөр башка моделдердин алсыздыгы тууралуу олуттуу суроолорду жаратат."
Алыстан башкаруу
Отчетто BitSight анын MV720 нөлгө жеткенин айтат, анткени ал компаниянын эң арзан модели болгон, ал ууруга каршы, күйүүчү майды өчүрүү, алыстан башкаруу жана геофельдлөө мүмкүнчүлүктөрүн сунуш кылат. Уюлдук байланышты иштеткен трекер статусун жана жайгашкан жерин жаңыртууларды колдоочу серверлерге өткөрүү үчүн SIM картаны колдонот жана анын мыйзамдуу ээлеринен SMS аркылуу буйруктарды алуу үчүн иштелип чыккан.
BitSight ал кемчиликтерди көп күч-аракет жумшабастан эле тапканын ырастайт. Жада калса, алсыздыктарды жаман актерлор жапайы колдонсо болорун көрсөтүү үчүн беш кемчилик үчүн концепциянын далили (PoCs) кодун иштеп чыкты.
Жана жеке адамдар гана таасир этпейт. Трекерлер компаниялар, ошондой эле өкмөт, аскерий жана укук коргоо органдары менен популярдуу. Бул изилдөөчүлөрдү CISA менен бөлүшүүгө алып келди, анткени ал Кытайда жайгашкан Шэньчжэньдеги унаа электроникасын жана аксессуарларын өндүрүүчү жана жеткирүүчүдөн оң жооп ала албагандан кийин.
CISA да MiCODUSдан жооп ала албагандан кийин, агенттик мүчүлүштүктөрдү Common Vnerabilities and Exposures (CVE) тизмесине кошууну өзүнө алды жана аларга Common Vnerabilities Scoring System (CVSS) упайын койду, алардын бир нечеси 9 деген критикалык оордук упайына ээ.10 ичинен 8.
Окумуштуулар бул алсыздыктарды колдонуу "каргашалуу, атүгүл өмүргө коркунуч туудурган" кесепеттерге алып келиши мүмкүн болгон көптөгөн чабуул сценарийлерине жол ачат.
Арзан толкундануулар
Оңой пайдаланылуучу GPS трекер нерселердин Интернети (IoT) түзмөктөрүнүн учурдагы муундагы көптөгөн тобокелдиктерди баса белгилейт, деп белгилешет изилдөөчүлөр.
Роджер Граймс, Гримс Lifewire электрондук почта аркылуу билдирди. «Сүйлөшүүлөрдү жаздыруу үчүн уюлдук телефонуңуз бузулушу мүмкүн. Ноутбугуңуздун веб-камерасы сизди жана жолугушууларыңызды жаздыруу үчүн күйгүзүлүшү мүмкүн. Ал эми унааңыздын GPS көзөмөлдөөчү түзмөгүн белгилүү бир кызматкерлерди табуу жана унааларды өчүрүү үчүн колдонсо болот."
Окумуштуулар белгилегендей, учурда MiCODUS MV720 GPS трекери аталган кемчиликтерге алсыз бойдон калууда, анткени сатуучу оңдоону жеткиликтүү кыла элек. Ушундан улам BitSight бул GPS трекерди колдонгондорго оңдоо жеткиликтүү болмоюнча аны өчүрүүнү сунуштайт.
Буга таянып, Гримс патчинг дагы бир көйгөйдү түшүндүрөт, анткени IoT түзмөктөрүндө программалык оңдоолорду орнотуу өзгөчө кыйын. "Эгерде сиз кадимки программалык камсыздоону жаңылоо кыйын деп ойлосоңуз, IoT түзмөктөрүн оңдоо он эсе кыйын", - деди Гримс.
Идеалдуу дүйнөдө бардык IoT түзмөктөрүндө бардык жаңыртууларды автоматтык түрдө орнотуу үчүн авто-патчинг болот. Бирок, тилекке каршы, Гримс белгилегендей, көпчүлүк IoT түзмөктөрү адамдардан ыңгайсыз физикалык туташууну колдонуу сыяктуу ар кандай айлампалардан өтүп, аларды кол менен жаңыртышын талап кылат.
"Менин оюмча, эгер сатуучу чындыгында аларды оңдоону чечсе жана качан жана качан жана качан аялуу GPS көз салуу түзмөктөрүнүн 90% аялуу жана эксплуатацияланууга жөндөмдүү бойдон кала берет, - деди Гримс. "IoT түзмөктөрү аялуу жерлерге толгон жана бул андай болбойт" Бул окуялардын канчасы чыкпасын, келечекте өзгөрөт."
