圖為GPS示意圖。
最新網絡安全研究報告發現,中國深圳廠商製造的一款汽車GPS追蹤裝置存在嚴重漏洞,可能會危及169個國家的個人、政府機構和公司,對生命、國家安全和供應鏈構成潛在危險。
「MV720」系統存在重大漏洞
根據周二(7月19日)波士頓網絡安全公司BitSight的一份報告,這款在全球廣泛使用的汽車全球定位(GPS)裝置產自深圳廠商MiCODUS,型號為「MV720」,該系統的嚴重漏洞可能讓攻擊者遠程劫持車輛、切斷車輛的燃料,並在車輛行駛時奪取控制權。
研究人員表示,用戶應立即禁用MV720 GPS跟蹤器,直至製造商修補漏洞為止。
BitSight自去年9月起,美國聯邦網絡安全和基礎設施安全局(CISA)也在今年4月介入,嘗試與製造商、總部位於深圳的MiCODUS進行討論以解決這些漏洞,但均未成功。
CISA也發表報告認為「MV720」定位裝置存在5大漏洞,CISA在聲明中表示,暫未發現大規模黑客利用這些漏洞。
波及多國個人和重要部門
BitSight說,每台MV720的成本不到25美元,MiCODUS聲稱在42萬名客戶中安裝了150萬台設備,其中包括一家財富50強能源公司和一家航空航天公司、南美和東歐的一些國家軍隊、核電站營運商和西歐的國家執法機構。用戶最多的國家包括:巴西、墨西哥、西班牙和俄羅斯。
GPS追蹤器在全球範圍內用於監控車隊——從卡車、校車再到軍用車輛——並防止它們被盜。除了收集車輛位置數據外,它們還可以監控其它指標,例如駕駛員行為和燃料使用情況。許多人可以通過遠程訪問來切斷車輛的燃料、警報、鎖定或解鎖車門等等。
BitSight首席研究員烏姆貝利諾(Pedro Umbelino)表示,黑客可以利用「MV720」的軟體漏洞,遠程切斷車輛的燃油管路;掌握車輛的實時位置來進行間諜活動;或者監控、截取車輛的多方面信息,必要的話甚至可以挾持車輛。
他提到多種惡意情況:例如急救人員的車輛可能會癱瘓,或者黑客可能會關閉引擎,要求受害者支付加密貨幣贖金。
BitSight發現,「MV720」出廠時附帶一個默認密碼,但超過90%的用戶不會更改該密碼,因此容易被黑客趁虛而入,該系統還有第一個「萬用密碼」,適用於所有設備。此外遠程管理GPS設備的網絡伺服器軟體也有安全漏洞。
美國安全顧問:或是中共蓄意而為
美國前網絡安全顧問理察‧克拉克(Richard Clarke)表示,這種不安全的GPS設備恐怕是中共蓄意而為,「它正在打電話回家,(信息)可能被中國(中共)政府惡意使用」。
美聯社報導,克拉克的擔心是真實存在的,因為中國公司都要遵守「黨」的命令,所以美國政府一直在尋求儘量減少美國電信網絡中的中國組件,國會議員也在推動禁止美國政府購買中國產無人機。
「你只是想知道,我們多久才會發現這些被中國(中共)濫用的基礎設施——而用戶卻不知道?」克拉克說。