Чем опасны трекеры с китайских маркетплейсов?

В конце июля 2022 года издание BleepingComputer со ссылкой на специалистов по информационной безопасности компании BitSight опубликовало материал о найденных уязвимостях в популярном и дешёвом GPS-трекере MiCODUS MV720.

Разберём детально, что произошло (спойлер: ничего хорошего), и что можно сделать.

Что за трекер MV720 и что с ним не так?

Это сверхкомпактный GPS-трекер со скромными техническими характеристиками, но с продвинутым функционалом смс-команд. Эти трекеры вёдрами продаются на маркетплейсах по скромным ценам. В придачу к трекеру производитель предлагает бесплатный сервис мониторинга транспорта. И, как показало исследование, – кучу уязвимостей в комплекте.

Что за уязвимости?

На момент публикации специалисты из BitSight обнаружили шесть критических уязвимостей, прозрачных как сито. Под угрозой взлома почти полтора миллиона автомобилей в 169 странах мира. Если коротко, то злоумышленник, получив доступ к трекеру, сможет узнать координаты трекера, отключить сигнализацию и подачу топлива. Звучит не очень.

Полезная функция легко может обернуться против владельца.

• CVE-2022-2107, уязвимость позволяет захватить под контроль любой трекер MV720, управлять подачей топлива, отключить сигнализацию и получить доступ к координатам.
• CVE-2022-2141, позволяет любому отправлять смс-команды GPS-трекеру и выполнять их с правами администратора.
• Слабый пароль, установленный по умолчанию во всех трекерах: 123456 (!). И это в наше-то время!
• CVE-2022-2199, уязвимость главного веб-сервера позволяет получить доступ к любой учётной записи со всеми вытекающими последствиями: доступ к настройкам, управлению трекером, отчётам.
• CVE-2022-34150, уязвимость, позволяющая вошедшему в систему пользователю получить доступ к данным любого ID в базе данных сервера.
• CVE-2022-33944, уязвимость позволяет любому неавторизованному пользователю получить отчёт в формате «Эксель» обо всей активности GPS-трекера.

Карта пользователей трекера MiCODUS MV720 (фото BitSight).

История с обнаружением критических уязвимостей длится аж с сентября 2021 года. Всё это время специалисты из BitSight безуспешно пытались связаться с производителем трекеров, которые по-прежнему уязвимы, поскольку производитель так и не выпустил патчи безопасности.

Что делать в такой ситуации?

Гарантированный способ остаться в безопасности – отключить GPS-трекер MV720, по крайней мере до того, как выпустят обновления безопасности. Но этого может никогда и не произойти: в сочетании с бесплатным сервером мониторинга, производитель получил огромную базу данных о передвижениях транспортных средств.

В качестве универсальной меры защиты мы рекомендуем использовать только сертифицированные устройства известных производителей, устанавливать оборудование в авторизованных центрах и мастерских, следить за информацией о безопасности устройств, внимательно относиться к предложениям на китайских маркетплейсах.

Компания «Инфо-Контроль» предлагает широкий спектр услуг в области спутникового мониторинга транспорта:

• надёжный мониторинг транспорта;
• бортовые терминалы, в том числе соответствующие постановлению Правительства РФ №2216;
• датчики уровня топлива;
• тахографы с мониторингом;
• карты водителя (СКЗИ, ЕСТР), восстановление пин-кода карты водителя;
• спутниковый мониторинг объектов сельского хозяйства (агроконтроль);
• системы видеонаблюдения на транспорте.

Остались вопросы? Звоните нам по номеру 8 800 7000 259 (бесплатно по России), напишите нам по адресу info@ic-company.ru, и мы постараемся помочь в решении ваших задач.

***

Источники:

1. Оригинал публикации: «Хакеры могут получить доступ с правами администратора к популярному GPS-трекеру через смс», ссылка.
2. Подробный обзор на русском языке, ссылка.
3. Новость на Lenta.ru.

Фото: страница продавца трекера на AliExpress.