- Los investigadores han descubierto vulnerabilidades críticas en un popular rastreador GPS utilizado en millones de vehículos.
- Los errores permanecen sin parchear ya que el fabricante no se ha comprometido con los investigadores e incluso con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
- Esta es solo una manifestación física de un problema que subyace a todo el ecosistema de dispositivos inteligentes, sugieren los expertos en seguridad.
Imágenes de Johner / Imágenes de Getty
Los investigadores de seguridad han descubierto vulnerabilidades graves en un popular rastreador GPS que se usa en más de un millón de vehículos en todo el mundo.
Según los investigadores del proveedor de seguridad BitSight, si se explotan, las seis vulnerabilidades en el rastreador GPS de vehículos MiCODUS MV720 podrían permitir a los actores de amenazas acceder y controlar las funciones del dispositivo, incluido el seguimiento del vehículo o cortar su suministro de combustible. Si bien los expertos en seguridad han expresado su preocupación por la seguridad laxa en los dispositivos inteligentes habilitados para Internet en general, la investigación de BitSight es particularmente preocupante tanto para nuestra privacidad como para nuestra seguridad.
“Desafortunadamente, estas vulnerabilidades no son difíciles de explotar”, señaló Pedro Umbelino, investigador principal de seguridad de BitSight, en un comunicado de prensa. «Las fallas básicas en la arquitectura general del sistema de este proveedor plantean preguntas importantes sobre la vulnerabilidad de otros modelos».
Control remoto
En el informe, BitSight dice que se concentró en el MV720 ya que era el modelo más económico de la compañía que ofrece capacidades antirrobo, corte de combustible, control remoto y geoperimetraje. El rastreador habilitado para celulares utiliza una tarjeta SIM para transmitir sus actualizaciones de estado y ubicación a los servidores de soporte y está diseñado para recibir comandos de sus propietarios legítimos a través de SMS.
BitSight afirma que descubrió las vulnerabilidades sin mucho esfuerzo. Incluso desarrolló un código de prueba de concepto (PoC) para cinco de las fallas con el fin de demostrar que los malos actores pueden explotar las vulnerabilidades en la naturaleza.
zhenghua zhuhai China / Getty Images
Y no son solo las personas las que podrían verse afectadas. Los rastreadores son populares entre las empresas, así como entre las agencias gubernamentales, militares y policiales. Esto llevó a los investigadores a compartir su investigación con CISA después de que no obtuviera una respuesta positiva del fabricante y proveedor de electrónica y accesorios automotrices con sede en Shenzhen, China.
Después de que CISA tampoco pudo obtener una respuesta de MiCODUS, la agencia se encargó de agregar los errores a la lista de Vulnerabilidades y exposiciones comunes (CVE) y les asignó un puntaje del Sistema de puntuación de vulnerabilidad común (CVSS), con un par de ellos obteniendo una puntuación de gravedad crítica de 9,8 sobre 10.
La explotación de estas vulnerabilidades permitiría muchos posibles escenarios de ataque, que podrían tener «implicaciones desastrosas e incluso potencialmente mortales», señalan los investigadores en el informe.
Cosas frívolas
El rastreador GPS fácilmente explotable destaca muchos de los riesgos con la generación actual de dispositivos de Internet de las cosas (IoT), señalan los investigadores.
Roger Grimes, evangelista de defensa basada en datos de la firma de seguridad cibernética KnowBe4, opina que uno de los grandes problemas de cualquier dispositivo IoT que rastree a alguien es la privacidad.
«Pon una cámara web en tu casa por motivos de seguridad, y no puedes estar seguro de que no te rastreará durante los momentos en que pensabas que tenías privacidad», le dijo Grimes a Lifewire por correo electrónico. “Su teléfono celular puede verse comprometido para grabar sus conversaciones. La cámara web de su computadora portátil se puede encender para grabarlo a usted y a sus reuniones. Y el dispositivo de rastreo GPS de su automóvil se puede usar para encontrar empleados específicos y desactivar vehículos”.
Los investigadores señalan que actualmente, el rastreador GPS MiCODUS MV720 sigue siendo vulnerable a las fallas mencionadas ya que el proveedor no ha puesto a disposición una solución. Debido a esto, BitSight recomienda que cualquier persona que use este rastreador GPS lo deshabilite hasta que haya una solución disponible.
Basándose en esto, Grimes explica que la aplicación de parches presenta otro problema, ya que es particularmente difícil instalar parches de software en dispositivos IoT. “Si cree que es difícil parchear el software regular, es diez veces más difícil parchear los dispositivos IoT”, dijo Grimes.
En un mundo ideal, todos los dispositivos IoT tendrían parches automáticos para instalar cualquier actualización automáticamente. Pero desafortunadamente, Grimes señala que la mayoría de los dispositivos IoT requieren que las personas los actualicen manualmente, saltando todo tipo de obstáculos, como usar una conexión física inconveniente.
«Yo especularía que el 90 % de los dispositivos de rastreo GPS vulnerables seguirán siendo vulnerables y explotables si el proveedor decide repararlos», dijo Grimes. «Los dispositivos IoT están llenos de vulnerabilidades, y esto no cambiará en el futuro. no importa cuántas de estas historias salgan a la luz”.
¡Gracias por dejarnos saber!
