image

Beveiligingslek in gps-tracker maakt fysiek stoppen van voertuigen mogelijk

donderdag 21 juli 2022, 12:46 door Redactie, 5 reacties

Verschillende kwetsbaarheden in een veelgebruikte gps-tracker voor voertuigen maakt het onder andere mogelijk voor aanvallers om deze voertuigen fysiek te stoppen of de bewegingen van het voertuig te volgen. Hoewel de fabrikant werd gewaarschuwd voor de beveiligingslekken zijn er geen updates beschikbaar. De gps-trackers worden onder andere door overheden, strijdkrachten en Fortune 1000-bedrijven gebruikt.

De kwetsbaarheden zijn aanwezig in de MV720 gps-tracker van Micodus. Het Chinese bedrijf claimt 420.000 klanten die van 1,5 miljoen gps-trackers gebruikmaken. De MV720 is een "hardwired" gps-tracker die verschillende features biedt, waaronder diefstalpreventie, het onderbreken van de brandstoftoevoer, remote control en geofencing. Gebruikers kunnen de gps-tracker, die met een webserver van Micodus communiceert, via een app en sms bedienen.

Onderzoekers van securitybedrijf BitSight ontdekten vijf kwetsbaarheden waardoor een aanvaller op afstand de gps-trackers kan besturen (pdf). Het gaat onder andere om het gebruik van hardcoded credentials, het zonder authenticatie uitvoeren van sms-gebaseerde gps-commando's en twee IDOR-kwetsbaarheden. IDOR staat voor Insecure direct object references. Dit soort beveiligingslekken doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole.

Zo blijkt dat de gps-tracker standaard met het wachtwoord "123456" wordt geleverd, waarmee iedereen het apparaat kan benaderen als gebruikers geen ander wachtwoord instellen. De onderzoekers deden een steekproef met duizend gps-trackers waarvan bij 95 procent het standaardwachtwoord niet was gewijzigd. Vermoedelijk omdat gebruikers tijdens de installatie niet wordt gevraagd een ander wachtwoord in te stellen.

Via de twee IDOR-kwetsbaarheden kan een ingelogde gebruiker of aanvaller de data van andere gps-trackers opvragen door alleen het device-id in de url te wijzigen. Vervolgens zijn zaken zichtbaar als naam, kentekenplaat, simkaartnummer en allerlei andere informatie. De impact van verschillende kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. BitSight waarschuwde Micodus vorig jaar september. Ondanks herhaaldelijke pogingen stelt het securitybedrijf dat het bedrijf niet reageerde en geen updates heeft uitgebracht. BitSight adviseert organisaties om de gps-trackers zolang er geen update beschikbaar is uit te schakelen.

Image

Reacties (5)
21-07-2022, 13:32 door Anoniem
Maar het was zo makkelijk in gebruik /s
21-07-2022, 13:51 door Anoniem
Zouden ze ook in Russische tanks e.d, zitten?
Dan een geofence instellen tot de internationale grenzen van Rusland of beter Moskou.
21-07-2022, 15:21 door Anoniem
Nu dit nieuws is uitgekomen... gaat er toch iemand lekker wat plezier hebben en heel de tijd al die auto's doen stoppen?
22-07-2022, 09:03 door Anoniem
Door Anoniem: Nu dit nieuws is uitgekomen... gaat er toch iemand lekker wat plezier hebben en heel de tijd al die auto's doen stoppen?

... in de spits, op de A2, A4 ofzo, kijken wat daar de gevolgen van (meer 'stoppende' auto's !) zal zijn !


Een GPS-tracker is blijkbaar als synoniem 'rem' ...., wie verzint zoiets !?
22-07-2022, 10:25 door Anoniem


Een GPS-tracker is blijkbaar als synoniem 'rem' ...., wie verzint zoiets !?

Ik zeg altijd al dat het hier vol zit met (fietsende) scholieren met een heel beperkte blik, gezien de postings.

Als je een auto uit het wat hogere segment hebt - dan wil je (of de lease maatschappij/verzekeraar) anuit anti-diefstal oogpunt tracking en remote disable .
Net zoals op i-devices (of extern , 'mobile device management' )

De _valide_ usecase is echt niet zo moeilijk te verzinnen .De nadelen zijn ook wel te verzinnen natuurlijk - en zeker bij een bug/hack.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.