流行的 GPS 追蹤器中的嚴重漏洞讓黑客可以遠程控制車輛

MV720 GPS 追蹤器由一家中國公司 MiCODUS 制造，該公司早在 2021 年 9 月就被告知存在這些缺陷，但尚未解決該問題。

網絡安全初創公司 BitSight 發現了中國 MiCODUS 制造的 GPS 追蹤器 MV720 的六個缺陷。據 BitSight 的 IT 安全研究人員稱，主要用于跟蹤車隊的 MV720 GPS 跟蹤器中存在嚴重的安全漏洞。這些漏洞可以讓黑客遠程跟蹤、停止和控制車輛。

供您參考，MV720 是一款價值約 20 美元的硬連線 GPS 追蹤器。總部位于深圳的 MiCODUS 電子制造商聲稱，其 150 萬個GPS 追蹤器目前被 169 個國家的超過 420,000 名客戶使用。

此外，其客戶包括多家財富 50 強公司、航運、航空航天、政府、軍隊、關鍵基礎設施、執法機構和核電站運營商。

漏洞詳情

BitSight 在上述跟蹤器中檢測到六個嚴重漏洞，可以很容易地遠程利用這些漏洞實時跟蹤車輛，獲取有關先前路線的信息，甚至在車輛行駛時切斷發動機。

BitSight 的首席安全研究員和報告作者 Pedro Umbelino 解釋說，漏洞的容易利用引發了有關該公司產品的“重大問題”，因為這些漏洞可能不僅限于一種 GPS 跟蹤器模型。他認為其他跟蹤器模型也存在同樣的缺陷。

MV720 GPS 追蹤器

缺陷帶來的危險

根據 BitSight 的博客文章，MV720 的一個缺陷在于未加密的 HTTP 通信，允許黑客遠程進行中間對手攻擊 ( AiTM ) 以攔截/更改服務器和移動應用程序之間交換的請求。

在移動應用程序中跟蹤器的身份驗證機制中發現了另一個漏洞，攻擊者可以訪問硬編碼密鑰以鎖定跟蹤器并使用自定義 IP 地址。這使黑客能夠監視和控制進出設備的通信。

被跟蹤為CVE-2022-2107的漏洞的嚴重等級為 9.8（滿分 10）。這是 MiCODUS 跟蹤器用作主密碼的硬編碼密碼。如果被黑客獲取，他們可以使用此密碼登錄網絡服務器并冒充真實用戶通過 SMS 通信向跟蹤器發送命令。

因此，他們可以完全控制任何 GPS 跟蹤器、訪問位置詳細信息、解除警報、更改路線和地理圍欄以及切斷車輛的燃料。

另一個被跟蹤為CVE-2022-2141的漏洞使跟蹤器用于與 MiCODUS 服務器通信的協議中的身份驗證狀態被破壞。然后在 Web 服務器中識別出一個反映的跨站點腳本錯誤。其他漏洞的跟蹤名稱為CVE-2022-2199、CVE-2022-34150和CVE-2022-33944。

在其技術文章中，BitSight 在 2021 年 9 月就這些缺陷向 MiCODUS 發出了警告。然而，在公司反應冷淡之后，CISA 和 BitSight 決定將調查結果公之于眾。漏洞仍未修補。BitSight 建議所有使用 MV720 GPS 跟蹤器的組織和個人立即禁用設備，直到它們被修補。

在其車輛中使用 MV720 設備的組織和個人處于危險之中。利用我們的專有數據集，BitSight 發現了 MiCODUS 設備在 169 個國家/地區被政府機構、軍隊和執法部門等組織以及航空航天、能源、工程、制造、航運等多個行業和行業的企業使用. 鑒于發現的漏洞的影響和嚴重性，強烈建議用戶立即停止使用或禁用任何 MiCODUS MV720 GPS 跟蹤器，直到修復可用。