Компания BitSight, работающая в сфере информационной безопасности, обнаружила шесть уязвимостей в популярном GPS-трекере MV720 китайской компании MiCODUS. Обычно эти трекеры используются предприятиями для мониторинга автопарков и потребителями для слежки за своими авто в случае угона. Эксплуатация упомянутых уязвимостей позволяет в некоторых случаях воздействовать на работу двигателя и отслеживать местоположение более 1,5 млн автомобилей.

В сообщении сказано, что специалистам BitSight удалось выявить проблемы не только в самом трекере, но и в веб-сервере, который используется для передачи данных. Трекеры MV720 оказались уязвимы для атак «человек посередине», когда злоумышленник может ретранслировать и при необходимости изменять данные, передаваемые между двумя сторонами. Эксплуатация уязвимостей может дать злоумышленнику полный контроль над GPS-трекером.

«Использование этих уязвимостей может иметь катастрофические и даже опасные для жизни последствия. Например, злоумышленник может использовать некоторые уязвимости для прекращения подачи топлива для всего парка коммерческих автомобилей или транспорта аварийных служб. Или злоумышленник может использовать GPS-данные для отслеживания и внезапного отключения двигателя на опасных автомагистралях», — говорится в отчёте BitSight.

Согласно имеющимся данным, представители BitSight пытались связаться с MiCODUS, чтобы сообщить о проблеме, ещё в сентябре 2021 года. Однако китайский производитель GPS-трекеров не пошёл на контакт и до сих пор не исправил выявленные уязвимости. Исследователи отмечают, что случаев эксплуатации уязвимостей трекеров MV720 на практике пока зафиксировано не было.


Источник: 3dnews.ru