中國製車用GPS追蹤裝置爆重大漏洞 若遭駭客攻擊恐致嚴重傷害

安全廠商和美國政府建議大眾立即停止使用一款熱門GPS追蹤裝置，或至少要減少網路曝險，因為它被發現有多個安全漏洞，可使駭客遠端關閉行動中的車輛、追蹤定位紀錄、關閉警報器或切斷油料。

中國製GPS追蹤器Micodus MV 720每顆只要20美元，因而全球熱銷。但安全廠商BitSight一項研究發現有重大漏洞，他們相信Micodus其他追蹤器可能也有相同漏洞。

Micodus指出，其GPS追蹤器全球出貨150萬台，客戶達42萬家。BitSight發現這款裝置客戶遍及169國，客戶涵括政府、軍方、執法機關、航太、運輸業及製造業等。

BitSight發現的6項重大漏洞，可引發多種可能攻擊。其中一項漏洞是未加密的HTTP通訊連線，可讓遠端攻擊者攔截並變更手機App和伺服器的連線內容， 執行中間人攻擊。其他攻擊包括App驗證機制不足，讓駭客得以存取寫死的金鑰以鎖定追蹤裝置，或是讓攻擊者使用特製IP來監控或控制進出裝置的通訊內容。

聯繫Micodus被已讀不回

研究人員表示他們是在去年9月通知Micodus，但是在數個月的連繫無果後，BitSight和CISA決定將結果公諸於世。目前這些漏洞都還沒有修補程式。

BitSight建議使用Micodus MV720的個人或組織先關閉這些裝置，直到廠商發佈修補程式。而使用Micodus GPS的企業組織，不論使用機型為何，都應留意系統架構上的任何可疑活動或元素。

美國網路安全暨基礎架構管理署也提出漏洞警告。CISA警告，成功的漏洞開採可讓攻擊者控制MV70 GPS裝置，使車輛位置、路線紀錄、油料切斷指令的存取管道洞開，而且關閉多項功能（如警報器）。

6項漏洞包括風險值9.8的CVE-2022-2107，密碼寫在程式內。Micodus追蹤器將之作為主密碼，若密碼為駭客取得，就可用它來登入Web伺服器、冒充合法用戶，經由SMS傳送指令給GPS追蹤器，但看起來像是來自GPS用戶的手機號碼。透過這點，攻擊者可以完全接管任何GPS追蹤器、存取定位資訊、路徑、或是即時追蹤所在、還能切斷汽車油料、關閉警報器等其他功能。

另一漏洞CVE-2022-2141是導致Micodus伺服器和GPS 追蹤器通訊用的協定的驗證失敗。其他漏洞還包括Micodus伺服器密碼寫死、Micodus伺服器內的反射式跨站腳本攻擊漏洞（reflected cross-site scripting error）、以及Web伺服器內不安全直接物件參照（insecure direct object reference），編號分別為CVE-2022-2199、CVE-2022-34150、CVE-2022-33944。

研究人員表示，這些漏可能招災害甚至致命影響，例如切斷整個商業車隊或緊急救護車的油料，或利用GPS 定位資訊監控車輛或在危險路上使之突然停止。他們也可能暗中追蹤個人、關閉車輛以要求贖金，造成人命及財產損害。

媒體也找不到Micodus回應。

BitSight建議，使用這些裝置的人應立即停用，並尋求有經驗的安全廠商協助。

來源：Ars Technica