Чем опасны трекеры с китайских маркетплейсов?
В конце июля 2022 года издание BleepingComputer со ссылкой на специалистов по информационной безопасности компании BitSight опубликовало материал о найденных уязвимостях в популярном и дешёвом GPS-трекере MiCODUS MV720.
Разберём детально, что произошло (спойлер: ничего хорошего), и что можно сделать.
Что за трекер MV720 и что с ним не так?
Это сверхкомпактный GPS-трекер со скромными техническими характеристиками, но с продвинутым функционалом смс-команд. Эти трекеры вёдрами продаются на маркетплейсах по скромным ценам. В придачу к трекеру производитель предлагает бесплатный сервис мониторинга транспорта. И, как показало исследование, – кучу уязвимостей в комплекте.
Что за уязвимости?
На момент публикации специалисты из BitSight обнаружили шесть критических уязвимостей, прозрачных как сито. Под угрозой взлома почти полтора миллиона автомобилей в 169 странах мира. Если коротко, то злоумышленник, получив доступ к трекеру, сможет узнать координаты трекера, отключить сигнализацию и подачу топлива. Звучит не очень.
Полезная функция легко может обернуться против владельца. |
- CVE-2022-2107, уязвимость позволяет захватить под контроль любой трекер MV720, управлять подачей топлива, отключить сигнализацию и получить доступ к координатам.
- CVE-2022-2141, позволяет любому отправлять смс-команды GPS-трекеру и выполнять их с правами администратора.
- Слабый пароль, установленный по умолчанию во всех трекерах: 123456 (!). И это в наше-то время!
- CVE-2022-2199, уязвимость главного веб-сервера позволяет получить доступ к любой учётной записи со всеми вытекающими последствиями: доступ к настройкам, управлению трекером, отчётам.
- CVE-2022-34150, уязвимость, позволяющая вошедшему в систему пользователю получить доступ к данным любого ID в базе данных сервера.
- CVE-2022-33944, уязвимость позволяет любому неавторизованному пользователю получить отчёт в формате «Эксель» обо всей активности GPS-трекера.
Карта пользователей трекера MiCODUS MV720 (фото BitSight). |
История с обнаружением критических уязвимостей длится аж с сентября 2021 года. Всё это время специалисты из BitSight безуспешно пытались связаться с производителем трекеров, которые по-прежнему уязвимы, поскольку производитель так и не выпустил патчи безопасности.
Что делать в такой ситуации?
Гарантированный способ остаться в безопасности – отключить GPS-трекер MV720, по крайней мере до того, как выпустят обновления безопасности. Но этого может никогда и не произойти: в сочетании с бесплатным сервером мониторинга, производитель получил огромную базу данных о передвижениях транспортных средств.
В качестве универсальной меры защиты мы рекомендуем использовать только сертифицированные устройства известных производителей, устанавливать оборудование в авторизованных центрах и мастерских, следить за информацией о безопасности устройств, внимательно относиться к предложениям на китайских маркетплейсах.
Компания «Инфо-Контроль» предлагает широкий спектр услуг в области спутникового мониторинга транспорта:
- надёжный мониторинг транспорта;
- бортовые терминалы, в том числе соответствующие постановлению Правительства РФ №2216;
- датчики уровня топлива;
- тахографы с мониторингом;
- карты водителя (СКЗИ, ЕСТР), восстановление пин-кода карты водителя;
- спутниковый мониторинг объектов сельского хозяйства (агроконтроль);
- системы видеонаблюдения на транспорте.
Остались вопросы? Звоните нам по номеру 8 800 7000 259 (бесплатно по России), напишите нам по адресу info@ic-company.ru, и мы постараемся помочь в решении ваших задач.
***
Источники:
- Оригинал публикации: «Хакеры могут получить доступ с правами администратора к популярному GPS-трекеру через смс», ссылка.
- Подробный обзор на русском языке, ссылка.
- Новость на Lenta.ru.