Una empresa de seguridad y el gobierno de los EE. UU. aconsejan al público que deje de usar de inmediato un popular dispositivo de rastreo GPS o al menos minimice la exposición a él, citando una serie de vulnerabilidades que permiten a los piratas informáticos deshabilitar de forma remota los automóviles mientras se mueven, rastrear los historiales de ubicación, desarmar las alarmas y cortar el suministro de combustible.

Una evaluación realizada por la firma de seguridad BitSight reveló seis vulnerabilidades en el Micodus MV720, un rastreador GPS que se vende por alrededor de $20 y está ampliamente disponible. Los investigadores que realizaron la evaluación creen que las mismas vulnerabilidades críticas están presentes en otros modelos de seguimiento de Micodus. El fabricante con sede en China dice que 1,5 millones de sus dispositivos de seguimiento se implementan en 420.000 clientes. BitSight ha encontrado el dispositivo en uso en 169 países, con clientes que incluyen empresas gubernamentales, militares, policiales y aeroespaciales, marítimas y de fabricación.

BitSight descubrió lo que dijo que eran seis vulnerabilidades «graves» en el dispositivo que permiten una gran cantidad de posibles ataques. Una de las deficiencias es el uso de comunicaciones HTTP sin cifrar que permiten a los atacantes remotos realizar ataques de adversario en el medio que interceptan o modifican las solicitudes enviadas entre la aplicación móvil y los servidores de soporte. Otras vulnerabilidades incluyen un mecanismo de autenticación defectuoso en la aplicación móvil que puede permitir a los atacantes acceder a la clave codificada para bloquear los rastreadores y la capacidad de usar una dirección IP personalizada que permite a los piratas informáticos monitorear y controlar todas las comunicaciones hacia y desde el dispositivo.

La empresa de seguridad dijo que contactó por primera vez a Micodus en septiembre para notificar a los funcionarios de la empresa sobre las vulnerabilidades. BitSight y CISA finalmente publicaron los hallazgos el martes después de meses de intentar comprometerse en privado con el fabricante. En el momento de escribir este artículo, todas las vulnerabilidades siguen sin parchear ni mitigar.

«BitSight recomienda que las personas y organizaciones que actualmente usan dispositivos de rastreo GPS MiCODUS MV720 deshabiliten estos dispositivos hasta que haya una solución disponible», dijeron los investigadores. a escrito. «Las organizaciones que utilizan cualquier rastreador GPS MiCODUS, independientemente del modelo, deben ser alertadas sobre la inseguridad con respecto a la arquitectura de su sistema, que puede poner en riesgo cualquier dispositivo».

La Administración de Seguridad de Infraestructura y Ciberseguridad de EE. UU. también advierte sobre los riesgos que plantean los errores de seguridad críticos.

«La explotación exitosa de estas vulnerabilidades podría permitir que un atacante controle cualquier rastreador GPS MV720, brindando acceso a la ubicación, rutas, comandos de corte de combustible y desactivando varias funciones (por ejemplo, alarmas)», dijeron funcionarios de la agencia. a escrito.

Las vulnerabilidades incluyen una identificada como CVE-2022-2107, una contraseña codificada que tiene una calificación de gravedad de 9.8 de 10 posibles. Los rastreadores Micodus lo usan como contraseña principal. Los piratas informáticos que obtengan esta contraseña pueden usarla para iniciar sesión en el servidor web, hacerse pasar por el usuario legítimo y enviar comandos al rastreador a través de comunicaciones por SMS que parecen provenir del número de teléfono móvil GPS del usuario. Con este control, los piratas informáticos pueden:

• Obtenga el control total de cualquier rastreador GPS
• Acceda a información de ubicación, rutas, geocercas y ubicaciones de seguimiento en tiempo real
• Reducir el combustible del vehículo
• Desarmar alarmas y otras características

Una vulnerabilidad separada, CVE-2022-2141, conduce a un estado de autenticación roto en el protocolo utilizado por el servidor Micodus y el rastreador GPS para comunicarse. Otras vulnerabilidades incluyen una contraseña codificada utilizada por el servidor Micodus, un error de script entre sitios reflejado en el servidor web y una referencia de objeto directo inseguro en el servidor web. Otras designaciones de seguimiento incluyen CVE-2022-2199, CVE-2022-34150, CVE-2022-33944.

“La explotación de estas vulnerabilidades podría tener implicaciones desastrosas, incluso fatales”, escribieron los investigadores de BitSight. «Por ejemplo, un atacante podría explotar algunas de las vulnerabilidades para cortar el suministro de combustible a toda una flota de vehículos comerciales o de emergencia. O bien, el atacante podría explotar la información del GPS para monitorear y detener abruptamente los vehículos en carreteras peligrosas. Los atacantes podrían optar por rastrear subrepticiamente personas o exigir pagos de rescate para restaurar los vehículos averiados a condiciones de trabajo. Hay muchos escenarios posibles que podrían conducir a la pérdida de vidas, daños a la propiedad, intrusión en la privacidad de la vida y amenazar la seguridad nacional.

Los intentos de comunicarse con Micodus para obtener comentarios no tuvieron éxito.

Las advertencias de BitSight son importantes. Cualquier persona que use uno de estos dispositivos debe apagarlo inmediatamente, si es posible, y consultar a un especialista en seguridad calificado antes de volver a usarlo.