Key Takeaways
- Para peneliti telah menemukan kerentanan kritis dalam pelacak GPS populer yang digunakan di jutaan kendaraan.
- Bug tetap tidak ditambal karena pabrikan gagal terlibat dengan para peneliti dan bahkan Badan Keamanan Siber dan Infrastruktur (CISA).
- Ini hanyalah manifestasi fisik dari masalah yang mendasari seluruh ekosistem perangkat pintar, saran pakar keamanan.
Peneliti keamanan telah menemukan kerentanan serius pada pelacak GPS populer yang digunakan di lebih dari satu juta kendaraan di seluruh dunia.
Menurut para peneliti dengan vendor keamanan BitSight, jika dieksploitasi, enam kerentanan di pelacak GPS kendaraan MiCODUS MV720 dapat memungkinkan pelaku ancaman untuk mengakses dan mengontrol fungsi perangkat, termasuk melacak kendaraan atau memotong bahan bakarnya Pasokan. Sementara pakar keamanan telah menyuarakan keprihatinan tentang lemahnya keamanan pada perangkat cerdas yang mendukung internet secara keseluruhan, penelitian BitSight sangat mengkhawatirkan baik untuk privasi dan keamanan kami.
“Sayangnya, kerentanan ini tidak sulit untuk dieksploitasi,” kata Pedro Umbelino, peneliti keamanan utama di BitSight, dalam siaran pers. “Kelemahan dasar dalam arsitektur sistem keseluruhan vendor ini menimbulkan pertanyaan signifikan tentang kerentanan model lain."
Remote Control
Dalam laporannya, BitSight mengatakan bahwa itu memusatkan perhatian pada MV720 karena itu adalah model perusahaan yang paling murah yang menawarkan kemampuan anti-pencurian, pemutusan bahan bakar, kendali jarak jauh, dan geofencing. Pelacak berkemampuan seluler menggunakan kartu SIM untuk mengirimkan pembaruan status dan lokasinya ke server pendukung dan dirancang untuk menerima perintah dari pemiliknya yang sah melalui SMS.
BitSight mengklaim menemukan kerentanan tanpa banyak usaha. Ia bahkan mengembangkan kode proof of concept (PoC) untuk lima kelemahan untuk menunjukkan bahwa kerentanan dapat dieksploitasi secara liar oleh aktor jahat.
Dan bukan hanya individu yang dapat terpengaruh. Pelacak populer di kalangan perusahaan serta di kalangan pemerintah, militer, dan lembaga penegak hukum. Hal ini mendorong para peneliti untuk berbagi penelitian mereka dengan CISA setelah gagal mendapatkan tanggapan positif dari produsen dan pemasok elektronik dan aksesoris otomotif yang berbasis di Shenzhen, China.
Setelah CISA juga gagal mendapatkan tanggapan dari MiCODUS, agensi tersebut dengan sendirinya menambahkan bug ke daftar Common Vulnerabilities and Exposures (CVE) dan memberi mereka skor Common Vulnerability Scoring System (CVSS), dengan beberapa dari mereka mendapatkan skor keparahan kritis 9.8 dari 10.
Eksploitasi kerentanan ini akan memungkinkan banyak kemungkinan skenario serangan, yang dapat memiliki "implikasi bencana dan bahkan mengancam jiwa," catat para peneliti dalam laporan tersebut.
Seru Murah
Pelacak GPS yang mudah dieksploitasi menyoroti banyak risiko dengan perangkat Internet of Things (IoT) generasi saat ini, catat para peneliti.
Roger Grimes, Grimes memberi tahu Lifewire melalui email. “Ponsel Anda dapat dikompromikan untuk merekam percakapan Anda. Webcam laptop Anda dapat diaktifkan untuk merekam Anda dan rapat Anda. Dan alat pelacak GPS mobil Anda dapat digunakan untuk menemukan karyawan tertentu dan menonaktifkan kendaraan.”
Para peneliti mencatat bahwa saat ini, pelacak GPS MiCODUS MV720 tetap rentan terhadap kekurangan yang disebutkan karena vendor belum menyediakan perbaikan. Karena itu, BitSight merekomendasikan agar siapa pun yang menggunakan pelacak GPS ini menonaktifkannya hingga perbaikan tersedia.
Berdasarkan hal ini, Grimes menjelaskan patching menghadirkan masalah lain, karena sangat sulit untuk menginstal perbaikan perangkat lunak pada perangkat IoT. “Jika menurut Anda sulit untuk menambal perangkat lunak biasa, itu sepuluh kali lebih sulit untuk menambal perangkat IoT,” kata Grimes.
Di dunia yang ideal, semua perangkat IoT akan memiliki penambalan otomatis untuk menginstal pembaruan apa pun secara otomatis. Namun sayangnya, Grimes menunjukkan sebagian besar perangkat IoT mengharuskan orang untuk memperbaruinya secara manual, melewati semua jenis rintangan seperti menggunakan koneksi fisik yang tidak nyaman.
Saya berspekulasi bahwa 90% perangkat pelacak GPS yang rentan akan tetap rentan dan dapat dieksploitasi jika dan ketika vendor benar-benar memutuskan untuk memperbaikinya,” kata Grimes. “Perangkat IoT penuh dengan kerentanan, dan ini tidak akan perubahan ke masa depan tidak peduli berapa banyak dari cerita ini keluar.”