Ungepatchte Sicherheitslücken in einem in China hergestellten GPS-Ortungssystem könnten laut den Forschern, die sie entdeckt haben, schlimme, „lebensbedrohliche“ Folgen haben. Kurz gesagt: Hacker könnten Ihr Auto in Echtzeit verfolgen und es sogar während der Fahrt deaktivieren, so die Forschung.
Das GPS-Ortungsgerät MiCODUS MV720 der gleichnamigen Firma aus Shenzhen weist insgesamt sechs Software-Schwachstellen auf, deren Ausnutzung einem Fahrer massive Probleme bereiten könnte. Wahrscheinlich die schlimmste Schwachstelle des Haufens (verfolgt als CVE-2022-2107) ist ein hartcodiertes Passwort, das von allen MiCODUS-GPS-Trackern verwendet wird. Cyberkriminelle, die an dieses Passwort gelangen, können sich aus der Ferne in den Webserver des Unternehmens einloggen und per SMS Befehle an das GPS-Gerät senden. Forscher behaupten, dass ein Hacker durch diese Methode das Gerät kommandieren, auf „Standortinformationen, Routen, Geofences, Standorte in Echtzeit zugreifen“, Fahrzeugalarme deaktivieren und sogar die Benzinzufuhr zum Motor des Autos unterbrechen könnte, während es noch in Bewegung ist .
Die Recherche war veröffentlicht von Cybersicherheitsfirma BitSight in Abstimmung mit der US-Cybersicherheitsbehörde CISA, die eine eigene herausgegeben hat beratend auf den Produkten.
„Bis zum 18. Juli 2022 hat MiCODUS keine Updates oder Patches bereitgestellt, um diese Schwachstellen zu mindern“, heißt es in der Ankündigung von CISA zu der Schwachstelle. „CISA empfiehlt Benutzern, Abwehrmaßnahmen zu ergreifen, um das Risiko der Ausnutzung dieser Schwachstellen zu minimieren“, heißt es weiter, bevor sie bereitgestellt werden eine Liste mit Empfehlungen.
Leider hat MiCODUS noch keine Software-Patches bereitgestellt. Und es ist nicht ganz klar, ob sie es tun werden. Wir haben uns mit mehreren Bitten um Kommentare an das Unternehmen gewandt und werden diese Geschichte aktualisieren, wenn sie antworten.
G/O Media kann eine Provision erhalten
Obwohl Sie diese Geräte problemlos für etwa 20 US-Dollar bei großen Online-Händlern wie Amazon, Ebay und Alibaba kaufen können, ist nicht ganz klar, wie weit verbreitet sie in den USA sind. BitSight schreibt, dass MiCODUS eine „Installationsbasis von 1,5 Millionen Geräten bei 420.000 Kunden hat “ und zeigt, dass die Ortungsgeräte in Nordamerika am häufigsten in Mexiko, Costa Rica und El Salvador eingesetzt werden.
„Die Ausnutzung dieser Schwachstellen könnte katastrophale und sogar lebensbedrohliche Auswirkungen haben“, schreiben BitSight-Forscher. In der Tat lassen sie die Möglichkeiten verdammt schlecht klingen:
„…ein Angreifer könnte einige der Schwachstellen ausnutzen, um den Kraftstoffverbrauch einer ganzen Flotte von Nutz- oder Einsatzfahrzeugen zu verringern. Oder der Angreifer könnte GPS-Informationen nutzen, um Fahrzeuge auf gefährlichen Autobahnen zu überwachen und abrupt anzuhalten. Angreifer könnten sich dafür entscheiden, Personen heimlich zu verfolgen oder Lösegeldzahlungen zu verlangen, um behinderte Fahrzeuge wieder in einen funktionsfähigen Zustand zu versetzen. Es gibt viele mögliche Szenarien, die zu Todesfällen, Sachschäden, Eingriffen in die Privatsphäre und einer Bedrohung der nationalen Sicherheit führen könnten.“
Ja, nichts davon klingt besonders gut, also bin ich sicher, dass Sie gerne wissen würden, wie Sie diese Fehler beheben können – sollten sie Sie betreffen.