Безопасности автомобильных GPS-трекеров угрожает серьезная уязвимость

В GPS-трекере MiCODUS MV720 обнаружили сразу шесть уязвимостей. Их наличие ставит под угрозу устройства в полутора миллионах автомобилей, которые эксплуатируются в 169 странах мира.

По данным отчета BitSight, одна из уязвимостей позволит взломавшему устройство хакеру встроить в него трекер и отслеживать передвижения автомобиля. Еще один возможный сценарий — обездвижить машину дистанционно. Киберзлоумышленник также может получать сведения обо всех перемещениях автомобиля, систематизировать и анализировать их.

Особую серьезность ситуации придает то, что часть авто с MiCODUS MV720 используется военными и правительствами разных стран, а также менеджментом компаний из списка Fortune 50. Таким образом возможный взлом устройств представляет серьезную угрозу национальной безопасности многих стран.

Отмечается, что исследователи продолжают поиск уязвимости GPS-трекеров данной модели. Пять из найденных ими брешей уже получили идентификатор CVE. Две уязвимости набрали 9,8 балла по шкале CVSS. Это жестко закодированный мастер-пароль на API-сервере и неработающая схема аутентификации. Последняя дает возможность управлять трекером через отправку SMS при условии наличия прав администратора.