Verschillende kwetsbaarheden in een veelgebruikte gps-tracker voor voertuigen maakt het onder andere mogelijk voor aanvallers om deze voertuigen fysiek te stoppen of de bewegingen van het voertuig te volgen. Hoewel de fabrikant werd gewaarschuwd voor de beveiligingslekken zijn er geen updates beschikbaar. De gps-trackers worden onder andere door overheden, strijdkrachten en Fortune 1000-bedrijven gebruikt.
De kwetsbaarheden zijn aanwezig in de MV720 gps-tracker van Micodus. Het Chinese bedrijf claimt 420.000 klanten die van 1,5 miljoen gps-trackers gebruikmaken. De MV720 is een "hardwired" gps-tracker die verschillende features biedt, waaronder diefstalpreventie, het onderbreken van de brandstoftoevoer, remote control en geofencing. Gebruikers kunnen de gps-tracker, die met een webserver van Micodus communiceert, via een app en sms bedienen.
Onderzoekers van securitybedrijf BitSight ontdekten vijf kwetsbaarheden waardoor een aanvaller op afstand de gps-trackers kan besturen (pdf). Het gaat onder andere om het gebruik van hardcoded credentials, het zonder authenticatie uitvoeren van sms-gebaseerde gps-commando's en twee IDOR-kwetsbaarheden. IDOR staat voor Insecure direct object references. Dit soort beveiligingslekken doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole.
Zo blijkt dat de gps-tracker standaard met het wachtwoord "123456" wordt geleverd, waarmee iedereen het apparaat kan benaderen als gebruikers geen ander wachtwoord instellen. De onderzoekers deden een steekproef met duizend gps-trackers waarvan bij 95 procent het standaardwachtwoord niet was gewijzigd. Vermoedelijk omdat gebruikers tijdens de installatie niet wordt gevraagd een ander wachtwoord in te stellen.
Via de twee IDOR-kwetsbaarheden kan een ingelogde gebruiker of aanvaller de data van andere gps-trackers opvragen door alleen het device-id in de url te wijzigen. Vervolgens zijn zaken zichtbaar als naam, kentekenplaat, simkaartnummer en allerlei andere informatie. De impact van verschillende kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. BitSight waarschuwde Micodus vorig jaar september. Ondanks herhaaldelijke pogingen stelt het securitybedrijf dat het bedrijf niet reageerde en geen updates heeft uitgebracht. BitSight adviseert organisaties om de gps-trackers zolang er geen update beschikbaar is uit te schakelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.