Njia Muhimu za Kuchukua
- Watafiti wamegundua udhaifu mkubwa katika kifuatiliaji maarufu cha GPS kinachotumiwa katika mamilioni ya magari.
- Hitilafu bado hazijarekebishwa kwa vile mtengenezaji ameshindwa kushirikiana na watafiti na hata Wakala wa Usalama wa Mtandao na Miundombinu (CISA).
- Hii ni onyesho halisi la tatizo linalotokana na mfumo mzima wa ikolojia wa kifaa mahiri, pendekeza wataalam wa usalama.
Watafiti wa masuala ya usalama wamegundua udhaifu mkubwa katika kifuatiliaji maarufu cha GPS ambacho kinatumika katika magari zaidi ya milioni moja duniani kote.
Kulingana na watafiti walio na mchuuzi wa usalama BitSight, ikiwa itatumiwa, udhaifu sita katika kifuatiliaji cha GPS cha MiCODUS MV720 unaweza kuwawezesha watendaji tishio kufikia na kudhibiti utendaji wa kifaa, ikiwa ni pamoja na kufuatilia gari au kukata mafuta yake. usambazaji. Ingawa wataalamu wa usalama wameelezea wasiwasi wao kuhusu usalama uliolegea katika vifaa mahiri, vinavyotumia intaneti kwa ujumla, utafiti wa BitSight ni wa kutisha sana kwa faragha na usalama wetu.
“Kwa bahati mbaya, udhaifu huu si vigumu kutumia,” alibainisha Pedro Umbelino, mtafiti mkuu wa usalama katika BitSight, katika taarifa kwa vyombo vya habari. "Kasoro za kimsingi katika usanifu wa jumla wa mfumo wa muuzaji huyu huzua maswali muhimu kuhusu kuathirika kwa miundo mingine."
Kidhibiti cha Mbali
Katika ripoti hiyo, BitSight inasema iliingia kwenye MV720 kwa kuwa ilikuwa ni muundo wa gharama nafuu zaidi wa kampuni ambao hutoa uwezo wa kuzuia wizi, kukatwa mafuta, udhibiti wa kijijini na kuzuia geofencing. Kifuatiliaji kinachotumia simu za mkononi hutumia SIM kadi kusambaza hali yake na masasisho ya eneo kwa seva zinazotumika na kimeundwa kupokea amri kutoka kwa wamiliki wake halali kupitia SMS.
BitSight inadai iligundua udhaifu bila juhudi nyingi. Hata ilitengeneza uthibitisho wa msimbo wa dhana (PoCs) kwa dosari tano ili kuonyesha kwamba udhaifu huo unaweza kutumiwa porini na watendaji wabaya.
Na si watu binafsi pekee ambao wanaweza kuathirika. Vifuatiliaji hivyo ni maarufu kwa makampuni na vile vile serikali, jeshi na vyombo vya kutekeleza sheria. Hii ilisababisha watafiti kushiriki utafiti wao na CISA baada ya kushindwa kupata jibu chanya kutoka kwa Shenzhen, mtengenezaji wa China na msambazaji wa vifaa vya elektroniki vya magari na vifaa.
Baada ya CISA pia kushindwa kupata jibu kutoka kwa MiCODUS, wakala alijitwika jukumu la kuongeza hitilafu kwenye orodha ya Kawaida ya Udhaifu na Mfichuo (CVE) na kuwapa alama ya Mfumo wa Ufungaji wa Athari za Kawaida (CVSS), huku baadhi yao wakipata alama muhimu za ukali 9.8 kati ya 10.
Utumiaji wa udhaifu huu ungeruhusu matukio mengi ya mashambulizi yanayoweza kutokea, ambayo yanaweza kuwa na "athari mbaya na hata za kutishia maisha," kumbuka watafiti katika ripoti hiyo.
Vifurahisha Nafuu
Kifuatiliaji cha GPS kinachoweza kutumiwa kwa urahisi huangazia hatari nyingi kwa kizazi cha sasa cha vifaa vya Internet of Things (IoT), kumbuka watafiti.
Roger Grimes, Grimes aliiambia Lifewire kupitia barua pepe. “Simu yako ya rununu inaweza kuathiriwa ili kurekodi mazungumzo yako. Kamera ya wavuti ya kompyuta yako ya mkononi inaweza kuwashwa ili kurekodi wewe na mikutano yako. Na kifaa cha kufuatilia GPS cha gari lako kinaweza kutumika kupata wafanyakazi mahususi na kuzima magari.”
€ Kwa sababu hii, BitSight inapendekeza kwamba mtu yeyote anayetumia kifuatiliaji hiki cha GPS akizime hadi urekebishaji upatikane.
Kwa kuzingatia hili, Grimes anaeleza kuwa kuweka viraka kunaleta tatizo lingine, kwani ni vigumu sana kusakinisha marekebisho ya programu kwenye vifaa vya IoT. "Ikiwa unafikiri ni vigumu kubandika programu za kawaida, ni vigumu mara kumi kubandika vifaa vya IoT," Grimes alisema.
Katika ulimwengu bora, vifaa vyote vya IoT vitakuwa na kubandika kiotomatiki ili kusakinisha masasisho yoyote kiotomatiki. Lakini kwa bahati mbaya, Grimes inadokeza kwamba vifaa vingi vya IoT vinahitaji watu kuvisasisha wao wenyewe, kwa kuruka kila aina ya hoops kama vile kutumia muunganisho usiofaa.
"Ningekisia kuwa 90% ya vifaa vya ufuatiliaji wa GPS vitasalia katika hatari na kutumiwa ikiwa na wakati mchuuzi ataamua kuvirekebisha," alisema Grimes. "Vifaa vya IoT vimejaa udhaifu, na hii haitawezekana. mabadiliko yanaenda katika siku zijazo haijalishi ni hadithi ngapi kati ya hizi zitatoka."