Se descubrió que un rastreador de GPS popular utilizado en millones de vehículos en todo el mundo tiene múltiples vulnerabilidades de alta gravedad, que permiten a los actores de amenazas rastrear las ubicaciones de los vehículos, apagarlos por completo, apagar su combustible y controlar los dispositivos. a distancia.
Para empeorar las cosas, el fabricante no parece interesado en arreglar las fallas.
Un informe (se abre en una nueva pestaña) de BitSight dijo que el rastreador GPS MiCODUS MV720, un producto chino, tenía seis vulnerabilidades de alta gravedad. Estos ahora se rastrean como CVE-2022-2107; CVE-2022-2141; CVE-2022-2199; CVE-2022-34150; y CVE-2022-33944, uno de los cuales tiene una puntuación de gravedad de 9,8.
fallas basicas
Para colmo de males, está el hecho de que los defectos no son tan difíciles de explotar. Pedro Umbelino, investigador principal de seguridad de BitSight, explica que la empresa descubrió que la interfaz web y la aplicación móvil comparten la misma contraseña predeterminada, mientras que el rastreador GPS acepta ciertos comandos incluso sin autenticación.
"Las fallas básicas en la arquitectura general del sistema de este proveedor plantean preguntas importantes sobre la vulnerabilidad de otros modelos", concluyó.
Lo peor es que el fabricante no parece interesado en tapar esos agujeros. BitSight dice que contactó a la compañía, pero sus advertencias cayeron en oídos sordos: "BitSight compartió su investigación con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. cuando se ignoraron sus esfuerzos de divulgación de vulnerabilidad a MiCODUS". informe indicado.
Hasta que el fabricante solucione los problemas, la empresa ha concluido que las empresas y las personas deben dejar de usar el rastreador GPS MiCODUS MV720 porque el riesgo es demasiado grande. Actualmente, MiCODUS tiene más de 420.000 clientes, incluidos gobiernos, militares, fuerzas del orden y empresas Fortune 1000, según BitSight.
“Si China puede controlar de forma remota los vehículos en Estados Unidos, tenemos un problema”, dijo Richard Clarke, un experto en seguridad nacional de renombre internacional y exasesor presidencial en ciberseguridad.
"Con el rápido crecimiento de la adopción de dispositivos móviles y el deseo de nuestra sociedad de estar más conectada, es fácil pasar por alto el hecho de que los dispositivos de rastreo GPS como estos pueden aumentar drásticamente el riesgo cibernético si no están diseñados teniendo en cuenta la seguridad". Los hallazgos de la investigación de BitSight resalte cómo tener una infraestructura de IoT segura es aún más crítico cuando estas vulnerabilidades pueden explotarse fácilmente para afectar nuestra seguridad personal y nacional, y conducir a resultados extremos como la interrupción de la gestión de flotas a gran escala e incluso la pérdida de vidas.