Güvenlik açığı araştırmacıları, 169 ülkede yaklaşık 1,5 milyon araçta mevcut olduğu bildirilen bir GPS izleyicide güvenlik sorunları buldular.
Toplam altı güvenlik açığı, birkaç Fortune 50 firması, Avrupa'daki hükümetler, ABD'deki eyaletler, Güney Amerika'daki bir askeri ajans ve bir nükleer santral operatörü tarafından kullanılan araçlarda bulunan Micodus MV720 cihazını etkiler.
Bulgulardan kaynaklanan riskler önemlidir ve hem gizliliği hem de güvenliği etkilemektedir. Bir MV720 cihazından ödün veren bir hacker, onu taşıyan aracı izlemek ve hatta hareketsizleştirmek veya rotalar hakkında bilgi toplamak ve verileri manipüle etmek için kullanabilir.
Cihazın kullanıcılarının çoğunun rolleri göz önüne alındığında, ulus-devlet rakipleri ulusal güvenlik etkileri olabilecek saldırılar yapmak için onları kullanabilirler.
Örneğin, Micodus GPS izleyicileri devlete ait Ukrayna Ulaştırma Ajansı tarafından kullanılmaktadır, bu nedenle Rus hackerlar, bugün bir raporda Siber Güvenlik Şirketi Bitsight'daki araştırmacılar, tedarik yollarını, birlik hareketlerini veya devriye rotalarını belirlemek için hedefleyebilirler.
Bitsight, belirli Micodus modeline baktı çünkü düşük maliyetli (20 $) ve yüksek popüler bir cihazdır, güvenilir hücresel özellikli izleme özelliklerine sahiptir ve yakıtı kesme gibi potansiyel olarak tehlikeli aktiviteler için kullanılabilir.
Bulunan altı güvenlik açıkının tümü bir kimlik numarası almamış olsa da, bunlar aşağıdaki gibi tanımlanır:
Bitsight, kimlik numarası alan ve vahşi doğada nasıl kullanılabileceklerini gösteren beş kusur için konsept kanıtları (POCS) kodu geliştirdi.
Güvenlik firması 9 Eylül 2021'de kritik kusurları keşfetti ve Micodus'u derhal uyarmaya çalıştı, ancak bir güvenlik raporunu kabul etmek için doğru kişiyi bulmakta zorluklarla karşılaştı.
GPS Tracker'ın Çinli satıcısı 1 Ekim 2021'de tekrar temasa geçti, ancak bir güvenlik veya mühendislik teması kurmayı reddetti. Kasım ayında satıcıyla iletişim kurma girişimleri yanıt vermedi.
Son olarak, 14 Ocak 2022'de Bitsight, bulgularının tüm teknik detaylarını ABD İç Güvenlik Bakanlığı ile paylaştı ve onlardan iletişim kanalları aracılığıyla satıcıyla etkileşime geçmelerini istedi.
Şu anda, Micodus MV720 GPS izleyicisi belirtilen kusurlara karşı savunmasız kalıyor ve satıcı bir düzeltme yapmadı.
Bu nedenle, bu cihazların kullanıcılarının bir düzeltme çıkana kadar hemen devre dışı bırakılması veya aktif olarak desteklenen GPS izleyicileriyle değiştirmeleri önerilir. Bunları kullanmaya devam etmek, özellikle bu kamu açıklamasından sonra aşırı bir güvenlik riski olacaktır.
Atlassian, kritik konfluence sert kodlanmış kimlik bilgileri kusurlarını düzeltir
Cisco, saldırganların komutları kök olarak yürütmesine izin veren hatayı düzeltir
PHP Web Kabuklarını Yüklemek İçin Büyük Kampanyada Hacklenen Elastix VoIP Systems
Saldırganlar, savunmasız eklenti için 1.6 milyon WordPress sitesini tarar
Yeni UEFI ürün yazılımı kusurları 70'den fazla Lenovo dizüstü bilgisayar modelini etkiler
Kaynak: Bleeping Computer