الوجبات الجاهزة الرئيسية
- اكتشف الباحثون نقاط ضعف حرجة في متعقب GPS الشهير المستخدم في ملايين المركبات.
- تظل الأخطاء غير مصححة لأن الشركة المصنعة فشلت في التعامل مع الباحثين وحتى وكالة الأمن السيبراني وأمن البنية التحتية (CISA).
- هذا مجرد مظهر مادي لمشكلة تكمن في النظام البيئي للأجهزة الذكية بالكامل ، اقترح خبراء الأمن.
كشف باحثو الأمن النقاب عن نقاط ضعف خطيرة في متعقب GPS مشهور يستخدم في أكثر من مليون مركبة حول العالم.
وفقًا للباحثين مع شركة BitSight للأمن ، إذا تم استغلالها ، فإن الثغرات الست في جهاز تعقب GPS للسيارة MiCODUS MV720 يمكن أن تمكن الجهات الفاعلة في التهديد من الوصول إلى وظائف الجهاز والتحكم فيها ، بما في ذلك تتبع السيارة أو قطع الوقود عنها إمداد. بينما أعرب خبراء الأمن عن قلقهم بشأن التراخي الأمني في الأجهزة الذكية التي تدعم الإنترنت بشكل عام ، فإن بحث BitSight مثير للقلق بشكل خاص لكل من خصوصيتنا وسلامتنا.
"لسوء الحظ ، ليس من الصعب استغلال هذه الثغرات الأمنية" ، كما أشار بيدرو أومبيلينو ، الباحث الأمني الرئيسي في BitSight ، في بيان صحفي. "تثير العيوب الأساسية في بنية النظام الشاملة لهذا البائع أسئلة مهمة حول ضعف النماذج الأخرى."
جهاز التحكم عن بعد
في التقرير ، صرحت BitSight بأنها ركزت على MV720 نظرًا لأنها كانت أقل طرازات الشركة تكلفة والتي توفر إمكانات الحماية من السرقة ، وقطع الوقود ، والتحكم عن بعد ، والسياج الجغرافي.يستخدم المتتبع الذي يدعم الهاتف الخلوي بطاقة SIM لنقل تحديثات الحالة والموقع إلى الخوادم الداعمة وهو مصمم لتلقي الأوامر من أصحابها الشرعيين عبر الرسائل القصيرة.
تدعي BitSight أنها اكتشفت نقاط الضعف دون بذل الكثير من الجهد. حتى أنها طورت رمز إثبات للمفهوم (PoCs) لخمسة من العيوب من أجل إثبات أن الثغرات الأمنية يمكن استغلالها في البرية من قبل الجهات السيئة.
وليس الأفراد فقط هم من يمكن أن يتأثروا. تحظى أجهزة التتبع بشعبية لدى الشركات وكذلك لدى الحكومة والجيش ووكالات إنفاذ القانون. دفع هذا الباحثين إلى مشاركة أبحاثهم مع CISA بعد أن فشلت في الحصول على استجابة إيجابية من Shenzhen ، الشركة المصنعة والموردة لإلكترونيات السيارات وملحقاتها ومقرها في الصين.
بعد أن فشلت CISA أيضًا في الحصول على استجابة من MiCODUS ، أخذت الوكالة على عاتقها إضافة الأخطاء إلى قائمة نقاط الضعف والتعرض الشائعة (CVE) ومنحتهم درجة نظام نقاط الضعف المشترك (CVSS) ، وحصل اثنان منهم على درجة خطورة حرجة 9.8 من 10.
استغلال هذه الثغرات الأمنية سيسمح بالعديد من سيناريوهات الهجوم المحتملة ، والتي قد يكون لها "آثار كارثية وحتى مهددة للحياة" ، كما لاحظ الباحثون في التقرير.
الإثارة الرخيصة
يسلط متتبع GPS القابل للاستغلال بسهولة الضوء على العديد من المخاطر مع الجيل الحالي من أجهزة إنترنت الأشياء (IoT) ، لاحظ الباحثون.
روجر غرايمز ، أخبر غرايمز لايف واير عبر البريد الإلكتروني. "يمكن اختراق هاتفك الخلوي لتسجيل محادثاتك. يمكن تشغيل كاميرا الويب الخاصة بجهاز الكمبيوتر المحمول لتسجيلك وتسجيل اجتماعاتك. ويمكن استخدام جهاز تتبع نظام تحديد المواقع العالمي (GPS) الخاص بسيارتك للعثور على موظفين محددين وتعطيل المركبات ".
لاحظ الباحثون أنه في الوقت الحالي ، لا يزال جهاز تعقب GPS MiCODUS MV720 عرضة للعيوب المذكورة لأن البائع لم يوفر إصلاحًا. لهذا السبب ، توصي BitSight بأن يقوم أي شخص يستخدم متعقب GPS هذا بتعطيله حتى يتم توفير الإصلاح.
بناءً على ذلك ، يوضح Grimes أن الترقيع يمثل مشكلة أخرى ، حيث إنه من الصعب بشكل خاص تثبيت إصلاحات البرامج على أجهزة إنترنت الأشياء. قال غرايمز: "إذا كنت تعتقد أنه من الصعب تصحيح البرامج العادية ، فسيكون من الصعب تصحيح أجهزة إنترنت الأشياء بعشرة أضعاف".
في عالم مثالي ، سيكون لجميع أجهزة إنترنت الأشياء تصحيح تلقائي من أجل تثبيت أي تحديثات تلقائيًا. لكن لسوء الحظ ، يشير Grimes إلى أن معظم أجهزة إنترنت الأشياء تتطلب من الأشخاص تحديثها يدويًا ، والقفز عبر جميع أنواع الأطواق مثل استخدام اتصال مادي غير مريح.
قال غرايمز"أتوقع أن 90٪ من أجهزة تتبع نظام تحديد المواقع العالمي الضعيفة ستظل معرضة للخطر وقابلة للاستغلال إذا وعندما يقرر البائع فعلاً إصلاحها". "أجهزة إنترنت الأشياء مليئة بالثغرات الأمنية ، وهذا لن التغيير في المستقبل بغض النظر عن عدد هذه القصص التي تظهر ".