Үндсэн санаанууд
- Судлаачид сая сая тээврийн хэрэгсэлд ашигладаг алдартай GPS-ийн ажиглагчийн чухал сул талуудыг илрүүлжээ.
- Үйлдвэрлэгч судлаачид, тэр ч байтугай Кибер аюулгүй байдал, дэд бүтцийн аюулгүй байдлын агентлаг (CISA)-тай холбогдож чадаагүй тул алдаанууд засварлагдаагүй хэвээр байна.
- Энэ бол ухаалаг төхөөрөмжийн бүх экосистемийн үндсэн асуудлын биет илрэл гэж аюулгүй байдлын мэргэжилтнүүд зөвлөж байна.
Аюулгүй байдлын судлаачид дэлхий даяар нэг сая гаруй тээврийн хэрэгсэлд ашиглагддаг алдартай GPS-ийн ажиглагчийн ноцтой сул талыг илрүүлжээ.
Аюулгүй байдлын үйлчилгээ үзүүлэгч BitSight-ийн судлаачдын үзэж байгаагаар MiCODUS MV720 тээврийн хэрэгслийн GPS tracker дээрх зургаан эмзэг байдлыг ашиглавал аюул заналхийлэгчид тээврийн хэрэгслийг хянах, түлшийг нь таслах зэрэг төхөөрөмжийн функцэд хандах, хянах боломжийг олгоно. нийлүүлэлт. Аюулгүй байдлын мэргэжилтнүүд ухаалаг, интернетэд холбогдсон төхөөрөмжүүдийн аюулгүй байдлын талаар санаа зовж буйгаа илэрхийлсэн ч BitSight-ийн судалгаа нь бидний хувийн нууц, аюулгүй байдлын аль алинд нь онцгой анхаарал хандуулж байна.
“Харамсалтай нь эдгээр сул талуудыг ашиглахад тийм ч хэцүү биш” гэж BitSight-ийн аюулгүй байдлын ерөнхий судлаач Педро Умбелино хэвлэлийн мэдээнд тэмдэглэв. "Энэ үйлдвэрлэгчийн системийн ерөнхий бүтэц дэх үндсэн дутагдал нь бусад загваруудын эмзэг байдлын талаар чухал асуултуудыг төрүүлдэг."
Алсын удирдлага
Тайландаа BitSight нь MV720-ийн хувьд энэ нь хулгайн эсрэг, түлш таслах, алсын удирдлага, газарзүйн хамгаалалт зэрэг боломжуудыг санал болгодог компанийн хамгийн хямд загвар байсан тул үүнийг тэглэсэн гэжээ. Үүрэн холбоог идэвхжүүлсэн трекер нь SIM карт ашиглан статус болон байршлын шинэчлэлтүүдийг дэмжигч серверүүд рүү дамжуулах бөгөөд хууль ёсны эзэмшигчдээсээ SMS-ээр тушаал хүлээн авах зориулалттай.
BitSight нь маш их хүчин чармайлтгүйгээр эмзэг байдлыг илрүүлсэн гэж мэдэгджээ. Тэр ч байтугай энэ эмзэг байдлыг муу жүжигчид зэрлэг байгальд ашиглаж болно гэдгийг харуулахын тулд таван дутагдлын тухай ойлголтын баталгаа (PoCs) кодыг хүртэл боловсруулсан.
Зөвхөн хувь хүмүүс өртөхгүй. Мөрдөгчид компаниуд болон засгийн газар, цэрэг, хууль сахиулах байгууллагуудын дунд түгээмэл байдаг. Энэ нь Хятадад төвтэй Шэньжэнь хотын автомашины электрон хэрэгсэл, дагалдах хэрэгсэл үйлдвэрлэгч, ханган нийлүүлэгчээс эерэг хариу авч чадаагүй тул судлаачдыг CISA-тай судалгаагаа хуваалцахад хүргэсэн.
CISA мөн MiCODUS-аас хариу авч чадаагүйн дараа агентлаг нь нийтлэг эмзэг байдал ба өртөх (CVE) жагсаалтад алдааг нэмж, нийтлэг эмзэг байдлын үнэлгээний системийн (CVSS) оноог өгсөн. Тэдний зарим нь 9 гэсэн ноцтой оноо авсан.10-аас 8.
Эдгээр эмзэг байдлыг ашигласнаар “гамшигт, бүр амь насанд аюултай үр дагаварт хүргэж болзошгүй олон халдлага тохиолдох болно” гэж тайланд дурдсан судлаачид тэмдэглэжээ.
Хямдхан сэтгэл хөдөлгөм
Ашиглахад хялбар GPS-ийн мөрдөгч нь одоогийн үеийн интернет (IoT) төхөөрөмжүүдийн олон эрсдэлийг онцолж байгааг судлаачид тэмдэглэж байна.
Рожер Граймс гэж Гримс Lifewire-д цахим шуудангаар ярьжээ. “Таны яриаг бичихийн тулд таны гар утсанд халдаж болно. Таны зөөврийн компьютерын вэбкамерыг асааж таныг болон таны уулзалтуудыг бичиж болно. Мөн таны машины GPS хянах төхөөрөмжийг тодорхой ажилчдыг олох, тээврийн хэрэгслийг идэвхгүй болгоход ашиглаж болно."
Судлаачид одоогоор MiCODUS MV720 GPS tracker нь үйлдвэрлэгчээс засвар хийгээгүй тул дээрх дутагдалд өртөмтгий хэвээр байгааг тэмдэглэж байна. Үүний улмаас BitSight-аас энэхүү GPS трекерийг ашигладаг хэн бүхэнд засвар гарах хүртэл үүнийг идэвхгүй болгохыг зөвлөж байна.
Үүн дээр тулгуурлан, IoT төхөөрөмж дээр програм хангамжийн засварыг суулгахад хэцүү байдаг тул засвар хийх нь өөр нэг асуудал болж байгааг Гримс тайлбарлав. "Хэрэв та ердийн программ хангамжийг засварлахад хэцүү гэж бодож байгаа бол IoT төхөөрөмжийг засварлах нь арав дахин хэцүү" гэж Гримс хэлэв.
Хамгийн тохиромжтой ертөнцөд бүх IoT төхөөрөмжид шинэчлэлтүүдийг автоматаар суулгахын тулд автомат засвар хийх боломжтой. Гэвч харамсалтай нь ихэнх IoT төхөөрөмжүүд хүмүүсээс эвгүй физик холболт ашиглах гэх мэт бүх төрлийн цагирагуудыг давж гар аргаар шинэчлэхийг шаарддаг болохыг Гримс онцолжээ.
"Эмзэгтэй GPS-ийн хяналтын төхөөрөмжүүдийн 90% нь хэрэв худалдагч үнэхээр засахаар шийдсэн бол эмзэг, ашиглагдах боломжтой хэвээр байх болно гэж би таамаглаж байна" гэж Гримс хэлэв. IoT төхөөрөмжүүд нь эмзэг талуудаар дүүрэн байдаг бөгөөд энэ нь тийм биш байх болно. Эдгээр түүхүүдийн хэчнээн нь гарсан ч ирээдүйд өөрчлөгдөх болно."