Business

GPS 추적기의 치명적인 결함은 “비참한” 및 “생명을 위협하는” 해킹을 가능하게 합니다.

Advertisements

GPS 추적기의 치명적인 결함은

보안 회사와 미국 정부는 대중에게 대중에게 인기 있는 GPS 추적 장치의 사용을 즉시 중단하거나 최소한 노출을 최소화할 것을 권고하고 있습니다. 위치 기록을 추적하고 경보를 해제하고 연료를 차단합니다.

보안 회사 BitSight의 평가에 따르면 약 20달러에 판매되고 널리 사용되는 GPS 추적기 Micodus MV720에서 6개의 취약점이 발견되었습니다. 평가를 수행한 연구원들은 다른 Micodus 추적기 모델에도 동일한 치명적인 취약점이 있다고 생각합니다. 중국에 기반을 둔 이 제조업체는 추적 장치 중 150만대가 420,000명의 고객에게 있다고 말합니다. BitSight는 정부, 군대, 법 집행 기관, 항공 우주, 운송 및 제조 회사를 포함한 고객과 함께 169개 국가에서 사용 중인 장치를 발견했습니다.

BitSight는 가능한 공격의 호스트를 허용하는 장치의 6가지 “심각한” 취약점을 발견했습니다. 한 가지 결함은 암호화되지 않은 HTTP 통신을 사용하여 원격 해커가 모바일 애플리케이션과 지원 서버 간에 전송되는 요청을 가로채거나 변경하는 중간자 공격을 수행할 수 있다는 것입니다. 다른 취약점에는 공격자가 추적기를 잠그기 위해 하드코딩된 키에 액세스할 수 있는 모바일 앱의 결함 있는 인증 메커니즘과 해커가 모든 통신을 모니터링하고 제어할 수 있도록 하는 사용자 지정 IP 주소를 사용할 수 있는 기능이 포함됩니다. 장치.

이 보안 회사는 9월에 Micodus에 처음으로 연락하여 회사 관계자에게 취약점을 알렸다고 밝혔습니다. BitSight와 CISA는 몇 달 동안 제조업체와 비공개로 협력하려고 시도한 후 화요일에 마침내 결과를 공개했습니다. 이 글을 쓰는 시점에서 모든 취약점은 패치가 적용되지 않고 완화되지 않은 상태로 남아 있습니다.

“BitSight는 현재 MiCODUS MV720 GPS 추적 장치를 사용하는 개인 및 조직이 수정 사항이 제공될 때까지 이러한 장치를 비활성화할 것을 권장합니다.”라고 연구원은 썼습니다. “모델에 관계없이 MiCODUS GPS 추적기를 사용하는 조직은 시스템 아키텍처와 관련하여 모든 장치를 위험에 빠뜨릴 수 있는 불안정성에 대해 경고해야 합니다.”

미국 사이버 보안 및 인프라 보안 관리국(US Cybersecurity and Infrastructure Security Administration)은 또한 중요한 보안 버그로 인한 위험에 대해 경고하고 있습니다.

Advertisements

기관 관계자는 “이러한 취약점을 성공적으로 악용하면 공격자가 모든 MV720 GPS 추적기를 제어할 수 있어 위치, 경로, 연료 차단 명령에 대한 액세스 권한을 부여하고 다양한 기능(예: 경보)을 해제할 수 있습니다.

취약점에는 CVE-2022-2107로 추적되는 취약점이 포함됩니다. 하드코딩된 비밀번호는 가능한 10점 만점에 9.8점입니다. Micodus 추적기는 이를 마스터 비밀번호로 사용합니다. 이 암호를 얻은 해커는 이 암호를 사용하여 웹 서버에 로그인하고, 합법적인 사용자로 가장하고, GPS 사용자의 휴대폰 번호에서 오는 것처럼 보이는 SMS 통신을 통해 추적기에 명령을 보낼 수 있습니다. 이 제어를 통해 해커는 다음을 수행할 수 있습니다.

• 모든 GPS 추적기를 완벽하게 제어
• 위치 정보, 경로, 지오펜스에 액세스하고 실시간으로 위치 추적
• 차량 연료 차단
• 경보 해제 및 기타 기능

별도의 취약점인 CVE-2022-2141은 Micodus 서버와 GPS 추적기가 통신하는 데 사용하는 프로토콜의 인증 상태를 깨뜨리게 합니다. 다른 취약점으로는 Micodus 서버에서 사용하는 하드코딩된 암호, 웹 서버의 반영된 교차 사이트 스크립팅 오류, 웹 서버의 안전하지 않은 직접 개체 참조 등이 있습니다. 다른 추적 명칭에는 CVE-2022-2199, CVE-2022-34150, CVE-2022-33944가 포함됩니다.

BitSight 연구원은 “이러한 취약점의 악용은 치명적이고 심지어 생명을 위협하는 영향을 미칠 수 있습니다.”라고 썼습니다. “예를 들어, 공격자는 일부 취약점을 악용하여 상용차 또는 긴급 차량 전체에 연료를 공급할 수 있습니다. 또는 공격자는 GPS 정보를 활용하여 위험한 고속도로에서 차량을 모니터링하고 갑자기 멈출 수 있습니다. 공격자는 개인을 은밀히 추적하거나 몸값 지불을 요구하여 장애가 있는 차량을 작동 상태로 되돌릴 수 있습니다. 인명 손실, 재산 피해, 개인 정보 침해 및 국가 안보 위협을 초래할 수 있는 시나리오가 많이 있습니다.”

논평을 위해 미코두스에게 연락하려는 시도는 실패했습니다.

BitSight 경고는 중요합니다. 이러한 장치 중 하나를 사용하는 사람은 가능하면 즉시 전원을 끄고 다시 사용하기 전에 숙련된 보안 전문가와 상의해야 합니다.

Advertisements

Comments

comments

Related Articles

Leave a Reply

Your email address will not be published.

Back to top button