Tin tặc có thể tấn công xe đang chạy vì lỗ hổng nghiêm trọng trên thiết bị này

Một trình giám sát GPS cực kỳ phổ biến trên thế giới tồn tại hàng loạt lỗ hổng lớn, có thể cho phép tin tặc toàn quyền kiểm soát phương tiện.

Theo TechRadar, một thiết bị giám sát GPS phổ biến được sử dụng trong hàng triệu phương tiện trên thế giới đã được phát hiện tồn tại nhiều lỗ hổng rất nghiêm trọng, cho phép các tác nhân đe dọa theo dõi vị trí của phương tiện, tắt hoàn toàn phương tiện, cắt nhiên liệu và kiểm soát thiết bị từ xa.

Tin tặc có thể tấn công xe đang chạy vì lỗ hổng nghiêm trọng trên thiết bị này - 1
Tin tặc có thể tấn công xe đang chạy vì lỗ hổng nghiêm trọng trên thiết bị này - 2

Thậm chí, vấn đề còn tồi tệ hơn, nhà sản xuất dường như không quan tâm đến việc sửa chữa các lỗ hổng.

Trong một báo cáo của BitSight cho biết “MiCODUS MV720 GPS Tracker”, một sản phẩm của Trung Quốc, có 6 lỗ hổng nghiêm trọng được đánh giá có độ nguy hiểm cao. Chúng hiện được theo dõi là CVE-2022-2107; CVE-2022-2141; CVE-2022-2199; CVE-2022-34150; và CVE-2022-33944, một trong số đó có số điểm về mức độ nghiêm trọng là 9,8.

Những lỗ hổng vô cùng cơ bản

Những lỗ hổng được phát hiện nghe có vẻ rất nghiêm trọng, nhưng có một thực tế khó tin là chúng không hề khó khai thác. Pedro Umbelino, nhà nghiên cứu bảo mật chính tại BitSight nói rằng công ty nhận thấy giao diện web và ứng dụng di động chia sẻ cùng một mật khẩu mặc định, trong khi thiết bị theo dõi GPS này cũng cho phép thực thi một số lệnh ngay cả khi không được xác thực.

Phần tệ nhất là nhà sản xuất dường như không quan tâm đến việc sửa chữa những lỗ hổng này. BitSight nói rằng họ đã liên hệ với công ty sản xuất thiết bị, nhưng lời cảnh báo của họ như “đàn gảy tai trâu”.

Sau đó BitSight đã chia sẻ nghiên cứu của mình với Cơ quan an ninh mạng và cơ sở hạ tầng của Bộ nội an Hoa Kỳ (CISA), vì sự cố gắng thông báo về lỗ hổng bảo mật của họ với MiCODUS bị coi thường.

Cho đến khi nhà sản xuất khắc phục các sự cố, công ty kết luận, các doanh nghiệp và cá nhân nên ngừng sử dụng MiCODUS MV720 GPS Tracker, vì rủi ro là quá lớn. Hiện tại, MiCODUS có hơn 420.000 khách hàng, bao gồm chính phủ, quân đội, cơ quan thực thi pháp luật và các công ty trong danh sách Fortune 1000, BitSight tuyên bố.

Richard Clarke, chuyên gia an ninh quốc gia nổi tiếng thế giới và cựu cố vấn tổng thống về an ninh mạng cho biết: “Nếu Trung Quốc có thể điều khiển từ xa các phương tiện ở Mỹ, chúng ta sẽ gặp vấn đề lớn.

“Với tốc độ phát triển nhanh chóng trong việc sử dụng các thiết bị di động và mong muốn xã hội được kết nối nhiều hơn, thật dễ dàng để bỏ qua thực tế rằng các thiết bị theo dõi GPS như thế này có thể làm tăng đáng kể rủi ro về không gian mạng nếu chúng không được xây dựng với tính bảo mật. Các phát hiện của BitSight nhấn mạnh việc có cơ sở hạ tầng IoT an toàn là quan trọng như thế nào khi những lỗ hổng này có thể dễ dàng bị lợi dụng để gây ảnh hưởng đến sự an toàn của cá nhân và an ninh quốc gia, đồng thời dẫn đến những hậu quả nghiêm trọng như gián đoạn việc quản lý phương tiện quy mô lớn và thậm chí ảnh hưởng đến tính mạng của người điều khiển.”