MiCODUS車載定位追蹤器安全漏洞波及全球超百萬輛汽車


一項新研究表明,某廠商制造的一款流行的GPS車輛追蹤器,存在一個極易被利用來跟蹤和遠程切斷全球超百萬車輛動力輸出的安全漏洞。網絡安全初創公司BitSight表示,其在MV720中發現六個漏洞。但更糟糕的是,該廠商並無去積極修復的意願。

報告指出,這款由 MiCODUS 制造的硬連線 GPS 追蹤器,擁有全球 42 萬+ 客戶和 150 萬終端部署量。

除私傢車、執法機構、以及軍隊和政府客戶,BitSight 還發現,財富 50 強公司和一傢核電運營商也在使用這款 GPS 追蹤器。

危險的是,攻擊可在遠程輕松利用相關安全漏洞來實時追蹤任何車輛、訪問路線歷史記錄、甚至切斷形式中的車輛引擎。

BitSight 首席安全研究員 Pedro Umbelino 補充道:

這些漏洞的利用難度並不高、且其性質揭示其它模型的重大問題 —— 暗示 MiCODUS 品牌的其它 GPS 追蹤器型號也可能存在相關風險。

鑒於漏洞的嚴重性、且沒有修復程序,BitSight 和美國政府的網絡安全咨詢機構 CISA 都發出警告,提醒車主盡快移除這些設備以降低風險。

這六個漏洞的嚴重性和可利用性各不相同,除其中一個、其它幾個都為‘高’或更嚴重。

部分 bug 存在於 GPS 追蹤器本身,而客戶用於追蹤其車隊的 Web 儀表板也漏洞百出。

但最讓安全研究人員感到擔心的,還是硬編碼密碼方面的缺陷。

由於密碼直接嵌入到 Android 應用程序的代碼中,任何人都可挖掘、找到、並利用。

其可被用於完全控制任何 GPS 追蹤器、訪問車輛實時位置和路線歷史、乃至遠程切斷動力輸出。

此外研究發現這款 GPS 追蹤器的默認密碼為 123456,且任何人都可訪問未修改過密碼的 GPS 追蹤器。

BitSight 測試發現,1000 臺設備樣本中,有 95% 在使用未更改的默認密碼來訪問。

這或許是在初始配置時,設備就沒有提醒用戶變更密碼。

另外兩個是“不安全的直接對象引用”漏洞(簡稱 IDOR):

IDOR 漏洞使得登錄用戶能夠訪問不屬於他們的、易受攻擊的 GPS 追蹤器的數據。

電子表格中包括設備生成的活動記錄,比如歷史位置和行駛路線。

最後,研究人員在世界各地都發現易受攻擊的 MiCODUS GPS 追蹤器。

其中烏克蘭、俄羅斯、烏茲別克斯坦、巴西,以及包括西班牙、波蘭、德國和法國在內的整個歐洲地區的設備集中度最高。

BitSight 發言人 Kevin Long 指出,即使美國市場的問題設備比例較小,也確切數字也可能有成千上萬。

遺憾的是,盡管這些漏洞可能對車主造成災難性的影響,但在 2021 年 9 月首次聯系 MiCODUS 之後,該公司仍未在報告發佈前積極修復。

通常情況下,安全研究人員會被廠商留下三個月的緩沖時間。不過截稿時,MiCODUS 並未立即回應外媒的置評請求。


相關推薦

2022-06-29

三個AirTag追蹤器幫助越野車車主找到瞭車輛,然後被警方找到。加拿大安大略省多倫多市大道和勞倫斯大道地區的一名男子在一個月前其第一輛路虎攬勝被盜後又購買瞭一輛相同的汽車。據悉,第一輛汽車從未被發現,因為小偷

2024-01-23

源人才缺口相對應的是,2023年中國超越日本,首次成為全球第一大汽車出口國;並且,包括比亞迪、奇瑞、吉利等車企在內,銷量和增速均再創新高。其中,比亞迪年度銷量302萬輛,同比增長62.3%,不僅是中國市場品牌第一,還

2023-06-02

燃油車的三大件是發動機、變速器、底盤,新能源車直接革命性的砍掉倆,三大件變成三電”系統:電池、電機以及電控。涉及電池、電機、電控等相關的三電故障,找到一傢懂行的汽修門店就比較困難。中國汽車工業協會最新

2022-06-24

ackBerry QNX軟件的汽車搭載量核算。絕大多數集成並應用於車載ECU的BlackBerry QNX軟件產品均以每件為單位授權使用及收費。BlackBerry QNX軟件包括QNX® Neutrino®實時操作系統、QNX®高級駕駛輔助系統平臺、QNX®安全操作系統、QNX®車用信

2024-03-30

達到181萬輛,同比增長38%。這也使得特斯拉連續三年蟬聯全球純電動車交付量榜單冠軍。值得一提的是,特斯拉Model Y車型在2023年的交付量超過120萬輛,成為全球所有品類車輛中最暢銷的車型之一。這一成績令人矚目,表明特斯

2022-10-13

強定位協議(H.E.L.P.®)旨在利用現有的車輛照明系統、車載遠程信息處理系統、OEM雲平臺和導航應用系統提供高度顯眼的照明和數字通信。它利用一種多管齊下的方法,以更高的刷新率改善危險燈,這顯然被證明可以提高安全

2023-01-03

行三次召回。目前還沒有與該缺陷相關的傷害報告,受到波及的車輛將被要求召回至經銷商處進行維修檢查。事實上,早在2019年,梅賽德斯就對近75萬輛幹燥時間不到兩分鐘的汽車,發出類似的召回通知。然而,奔馳和供應商懷

2023-03-21

身體以增強身體追蹤。·HTC現有的Vive追蹤器器采用SteamVR定位技術,亦即需要外部信標。但對於VIVE Self-Tracking Tracker,HTC表示這是他們第一款采用內向外追蹤的自追蹤式追蹤器。它可以采用機載攝像頭來定位自己的位置。這意味著

2024-04-09

系列手機現在即使在關機或電池電量耗盡的情況下也能被定位。這項便捷的新功能是作為今天推出的升級版、更先進的"查找我的設備"(FindMyDevice)網絡的一部分而宣佈的。Google表示,這種離線追蹤功能是通

2022-11-04

一個配套的應用程序配對,深入研究為什麼某些技能對特定位置很重要。該應用程序還提供訓練演習,用戶可以自己或與隊友一起練習。追蹤器本身是通過固定在球員的鞋墊上進行佩戴的"我們已經花很多年的時間來提高我們

2022-08-24

攝像頭”等關鍵詞進行檢索,仍能搜到大量相關商品,如車載GPS、遠程錄音筆、車載追蹤器等,有不少商品在名稱中直接以諧音或拼音形式標明“跟蹤神器”“jian聽”等內容。在某款GPS定位器商品詳情頁中,一則介紹商品功能

2023-04-07

據報道,盡管特斯拉一再宣稱其車載攝像頭隻是為輔助駕駛而設計,不會侵犯用戶隱私,但其內部員工透露的信息卻與此相悖。特斯拉向數百萬電動汽車車主保證,他們的隱私“現在和將來始終都對我們非常重要”。其網站信息

2024-03-30

來應對追車過程中的逃逸車輛。他們在一些巡邏車上安裝車載發射器,可以發射由一傢名為StarChase的公司生產的含有熱激活粘膠的泡沫彈丸。這種非致命性飛鏢配備無線 GPS 跟蹤器,使執法人員能夠實時監控被標記車輛的位置而

2022-10-17

攀越新的高峰。如今,比亞迪的月銷規模達到20萬輛,在全球汽車市場上大放異彩。今年前9月,比亞迪的銷量已達118.51萬輛。目前比亞迪在手訂單70萬輛,新車下單交付周期達4至5個月,到年底會爭取28萬輛的月交付量。也就是說