מזונות חשובים
- חוקרים גילו נקודות תורפה קריטיות בגשש GPS פופולרי המשמש במיליוני כלי רכב.
- הבאגים נותרו ללא תיקון מאחר שהיצרן לא הצליח ליצור קשר עם החוקרים ואפילו עם הסוכנות לאבטחת סייבר ותשתיות (CISA).
- זהו רק ביטוי פיזי לבעיה העומדת בבסיס כל המערכת האקולוגית של המכשיר החכם, מציעים מומחי אבטחה.
חוקרי אבטחה חשפו נקודות תורפה חמורות בגשש GPS פופולרי שנמצא בשימוש בלמעלה ממיליון כלי רכב ברחבי העולם.
לפי החוקרים עם ספק האבטחה BitSight, אם מנוצלות, שש נקודות התורפה ב-GPS לרכב MiCODUS MV720 עשויות לאפשר לשחקני איומים לגשת ולשלוט בפונקציות של המכשיר, כולל מעקב אחר הרכב או ניתוק הדלק שלו לְסַפֵּק. בעוד שמומחי אבטחה הביעו דאגה לגבי האבטחה הרופסת במכשירים חכמים התומכים באינטרנט באופן כללי, המחקר של BitSight מדאיג במיוחד הן לפרטיות והן לבטיחות שלנו.
"למרבה הצער, הפגיעויות הללו אינן קשות לניצול", ציין פדרו אומבלינו, חוקר אבטחה ראשי ב-BitSight, בהודעה לעיתונות. "פגמים בסיסיים בארכיטקטורת המערכת הכוללת של הספק הזה מעלים שאלות משמעותיות לגבי הפגיעות של דגמים אחרים."
שלט רחוק
בדו ח, BitSight אומרת שהיא התאפסה על ה-MV720 מכיוון שזה היה הדגם הזול ביותר של החברה שמציע יכולות אנטי גניבה, ניתוק דלק, שלט רחוק ויכולות הגנה גיאוגרפית.הגשש התומך הסלולרי משתמש בכרטיס SIM כדי להעביר את עדכוני המצב והמיקום שלו לשרתים תומכים ונועד לקבל פקודות מבעליו החוקיים באמצעות SMS.
BitSight טוען שהיא גילתה את הפגיעויות בלי הרבה מאמץ. הוא אפילו פיתח קוד הוכחת קונספט (PoCs) עבור חמישה מהפגמים על מנת להוכיח שניתן לנצל את הפגיעויות בטבע על ידי שחקנים גרועים.
ולא רק אנשים עלולים להיות מושפעים. הגששים פופולריים בקרב חברות כמו גם בקרב רשויות ממשלתיות, צבאיות ורשויות אכיפת החוק. זה הוביל את החוקרים לחלוק את המחקר שלהם עם ה-CISA לאחר שהוא לא הצליח לעורר תגובה חיובית מהיצרן והספק של מוצרי אלקטרוניקה ואביזרים לרכב, שבסיסו בסין, שנג'ן.
לאחר שה-CISA גם לא הצליחה לקבל תשובה מ-MiCODUS, הסוכנות לקחה על עצמה להוסיף את הבאגים לרשימת הנקודות הנפוצות והחשיפות (CVE) והקצתה להם ציון Common Vulnerability Scoring System (CVSS), כאשר כמה מהם זוכים לציון חומרה קריטי של 9.8 מתוך 10.
הניצול של פגיעויות אלה יאפשר תרחישי תקיפה אפשריים רבים, שעלולים להיות להם "השלכות הרות אסון ואפילו מסכנות חיים", ציינו החוקרים בדו"ח.
ריגושים זולים
גשש ה-GPS שניתן לנצל בקלות מדגיש רבים מהסיכונים בדור הנוכחי של מכשירי האינטרנט של הדברים (IoT), שימו לב לחוקרים.
רוג'ר גריימס, אמר גריימס ל-Lifewire באימייל. "ניתן לסכן את הטלפון הנייד שלך כדי להקליט את השיחות שלך. ניתן להפעיל את מצלמת האינטרנט של המחשב הנייד שלך כדי להקליט אותך ואת הפגישות שלך. ומכשיר ה-GPS של המכונית שלך יכול לשמש כדי למצוא עובדים ספציפיים ולהשבית כלי רכב."
החוקרים מציינים שכרגע, גשש ה-GPS MiCODUS MV720 נשאר פגיע לפגמים שהוזכרו מאחר שהספק לא הגיש תיקון. בשל כך, BitSight ממליצה לכל מי שמשתמש בגשש GPS זה להשבית אותו עד שהתיקון יהיה זמין.
בהתבסס על זה, Grimes מסביר כי תיקון מציג בעיה נוספת, מכיוון שקשה במיוחד להתקין תיקוני תוכנה במכשירי IoT. "אם אתה חושב שקשה לתקן תוכנה רגילה, קשה פי עשרה לתקן מכשירי IoT", אמר Grimes.
בעולם אידיאלי, לכל מכשירי ה-IoT יהיה תיקון אוטומטי כדי להתקין עדכונים באופן אוטומטי. אבל למרבה הצער, Grimes מציינת שרוב מכשירי ה-IoT דורשים מאנשים לעדכן אותם באופן ידני, ולקפוץ דרך כל מיני חישוקים כמו שימוש בחיבור פיזי לא נוח.
"אני משער ש-90% ממכשירי מעקב GPS פגיעים יישארו פגיעים וניתנים לניצול אם וכאשר הספק יחליט לתקן אותם", אמר גריימס. "מכשירי IoT מלאים בפרצות, וזה לא יעשה זאת. שינוי הולך לעתיד, לא משנה כמה מהסיפורים האלה יצאו."