MV720, jeden z najpopularniejszych lokalizatorów GPS produkcji chińskiej, używany w 169 krajach świata, ma tak poważne luki w oprogramowaniu, że samochody z zainstalowanym GPS MV720 są podatne na kradzież, kradzież danych użytkownika, zdalnie sprokurowaną awarię czy nawet próbę przejęcia kontroli w czasie podróży
Luki w oprogramowaniu wykryła amerykańska firma bezpieczeństwa BitSight z Bostonu. Sytuacja jest tak poważna, że jej analitycy zalecają natychmiastowe wyłączenie trackera GPS MV720 i nie uruchamianie go póki zdalnie nie będzie można zainstalować poprawki. Raport o podatnościach opublikowano wskutek zaleceń U.S. Cybersecurity and Infrastructure Security Agency CISA (Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury), który zaleca publikować jak najszybciej informacje dotyczące 5 luk bezpieczeństwa, które zagrażają użytkownikowi produktu.
Analitycy BitSight stwierdzili, że przez wiele miesięcy bezskutecznie próbowali skłonić producenta, firmę MiCODUS z Shenzen, do dyskusji na temat luk w zabezpieczeniach i ich usunięcia. Associated Press po opublikowaniu raportu próbowała skontaktować się z MiCODUS, ale na próby kontaktu e-mailowego nie odpowiedziano, zaś osoba z recepcji, która odebrała telefon, nie znała angielskiego.
CISA po zbadaniu sprawy oświadczyła, że nie są jej znane przypadki „aktywnego wykorzystywania” luk w trackerze.
Lokalizatory GPS są używane na całym świecie do monitorowania flot pojazdów – od ciężarówek przez autobusy szkolne po pojazdy wojskowe – chroniąc je jednocześnie przed kradzieżą. Zwykle też monitorują inne wskaźniki jak zużycie paliwa czy styl jazdy kierowcy. Działają także zdalnie, by w przypadku alarmu, odciąć dopływ paliwa, zablokować lub odblokować drzwi pojazdu lub włączyć alarm.
Według BitSight lokalizator MV720 był bardzo atrakcyjny dla wytwórców elektroniki samochodowej, dlatego że był tani – kosztował mniej niż 25 dol. za sztukę. Jednak, jak stwierdził Pedro Umbelino, główny badacz BitSight, jeśli hacker skorzysta z odnalezionych przez badaczy luk, wówczas może poznać lokalizację pojazdu w ruchu, odciąć dopływ paliwa lub wyłączyć silnik pojazdu w trakcie jazdy oraz sfałszować dane o lokalizacji. Oznacza to możliwość takich działań jak umyślne uszkodzenie pojazdu ratowniczego, służb lub wojskowego, wyłączenie silnika w trakcie ruchu i żądanie okupu w kryptowalucie w zamian za uczynienie samochodu zdatnym do jazdy. Ponadto luki są w zabezpieczeniach oprogramowania serwera używanego do zdalnego zarządzania urządzeniami GPS, zaś hasło domyślne, które jest otrzymywane wraz z urządzeniem nie jest zmieniane przez ponad 90% użytkowników, bo procedura jest dość skomplikowana.
Według MiCODUS, producenta trackera, zainstalowano 1,5 mln takich urządzeń u 420 tys. klientów, Na liście znalazły się m.in. firma energetyczna z listy Fortune 50, jeden z wielkich producentów lotniczych, operator elektrowni jądrowej, służba zwalczania przestępczości zorganizowanej w jednym z państw Europy Zachodniej, armie krajów Ameryki Południowej i Europy Wschodniej.
Prawdopodobnie moduł ten trafił też do samochodów służbowych użytkowanych w wielu instytucjach i firmach w Polsce, ale obecnie nie można ustalić w jakich konkretnie i jakie zagrożenie stanowi. Kraje z największą liczbą użytkowników systemów opartych na MV720 według kontynentów to Brazylia, Meksyk, Hiszpania i Rosja.
Richard Clarke, jeden z najważniejszych amerykańskich analityków ds. cyberbezpieczeństwa powiedział agencji Reuters, że tracker jest kolejnym zaawansowanym urządzeniem z Chin, które łączy się z centrum lokalizacji w Chinach i może być wykorzystywane do działań szpiegowskich przez chińskie służby państwowe. Co prawda Clarke wątpi by lokalizator specjalnie zaprojektowano do tego celu, ale jego zdaniem niebezpieczeństwo jest realne. Jak zauważył, obecne odkrycie potwierdza działania administracji USA, która stara się zminimalizować użycie chińskich komponentów w amerykańskich sieciach telekomunikacyjnych. Podobnie działa Kongres USA, który naciska wręcz na zakaz kupowania dronów z Chin nie tylko przez jednostki rządowe w USA, ale także by zminimalizować ich sprzedaż dla biznesu.
– Należało się tego spodziewać. Produkty chińskie pełne są backdoorów i z zasady przesyłają dane na serwery w Chinach. Po prostu takie są instrukcje służb chińskich, skierowane do firm, by tego typu rzeczy robić, a w Chinach żadna firma nie sprzeciwi się służbom, obojętnie jakim czy wojskowym, czy cywilnym. I stawiam funty przeciwko orzechom, że we flotach samochodowych polskich instytucji rządowych jest tego typu systemów masa. Bo samochody z nimi są tańsze. A są przetargi gdzie cena stanowi o ponad 60%. I myślę, że nic z tym nie zostanie zrobione, przejdzie się nad tym do porządku dziennego – powiedział ISBiznes.pl jeden z analityków ds. bezpieczeństwa.
