セキュリティ会社と米国政府は、ハッカーが移動中に車をリモートで無効にすることを可能にする多くの脆弱性を挙げて、人気のあるGPS追跡デバイスの使用を直ちに停止するか、少なくともその露出を最小限に抑えるように国民にアドバイスしています。
ハッキングにより、位置履歴を追跡し、警報を解除し、燃料を遮断することが可能です。
セキュリティ会社BitSightの評価では、約20ドルで販売され広く利用可能なGPSトラッカーであるMicodus MV720に6つの脆弱性が見つかりました。評価を行った研究者は、他のMicodusトラッカーモデルにも同じ重大な脆弱性が存在すると考えています。中国を拠点とするメーカーは、150万台の追跡デバイスが42万人の顧客に配備されていると述べています。BitSightは、政府、軍隊、法執行機関、航空宇宙、海運、製造会社などの顧客とともに、169か国でデバイスが使用されていることを発見しました。
BitSightは、デバイスに6つの「重大な」脆弱性があり、攻撃の可能性があることを発見しました。1つの欠陥は、暗号化されていないHTTP通信の使用であり、リモートハッカーがモバイルアプリケーションとサポートサーバー間で送信される要求を傍受または変更する中間攻撃を実行できるようにします。
その他の脆弱性には、攻撃者がトラッカーをロックダウンするためにハードコードされたキーにアクセスできるようにするモバイルアプリの欠陥のある認証メカニズムなどがあります。
セキュリティ会社は、脆弱性を会社の役人に通知するために、9月に最初にMicodusに連絡したと述べた。BitSightとCISAは、火曜日に、製造業者と個人的に関わり合うことを何ヶ月も試みた後、最終的に調査結果を公表しました。執筆時点では、すべての脆弱性にパッチが適用されておらず、軽減されていません。
「これらの脆弱性の悪用に成功すると、攻撃者はMV720 GPSトラッカーを制御し、位置、ルート、燃料カットオフコマンドへのアクセスを許可し、さまざまな機能(アラームなど)を解除することができます」と代理店の関係者は書いています。
(via Arts Technica)
Last Updated on 2022年7月20日 by Editor
※このサイトの記事には「噂」や「疑惑」など、不確定な情報が含まれています。ご了承ください。(管理人)
