Na popularnym samochodowym trackerze GPS można dostać admina… SMSem.

Chodzi o rozwiązanie: MiCODUS MV720, w którym wykryto garść krytycznych podatności, np. taką:

The API server has an authentication mechanism that allows devices to use a hard-coded master password. This may allow an attacker to send SMS commands directly to the GPS tracker as if they were coming from the GPS owner’s mobile number.

A to tylko czubek góry lodowej – pełną górę ujawniła ekipa z firmy Bitsight. Już w 2021 roku zgłaszali problemy do chińskiego producenta urządzenia – ale bez rezultatów.

W dużym skrócie, bazując na zahardkodowanym kluczu API (pasującym dla wszystkich użytkowników) można komunikować się z dowolnym urządzeniem (wystarczy podać tylko jego deviceID). Wyliczone są tutaj dość nieprzyjemne możliwe efekty takie jak: dostęp do dokładnej lokalizacji pojazdu, czy odcięcie paliwa (!):

• Access location information, routes, geofences, track locations in real-time;
• Cut off fuel to vehicles; and/or
• Disarm alarms and other features.

Odczyt danych wymaga jedynie prostej komunikacji z API, natomiast aktywna komunikacja z modułem GPS, wymaga wysłania SMSa, ale to ponownie – można osiągnąć… komunikując się z API (które w imieniu atakującego wyśle SMSa do urządzenia). W tym ostatnim jedyną blokadą jest extra hasło na urządzeniu, ale wg badaczy na ~95% badanych przypadków było one ciągiem: 12345678.

Co ciekawe wg badaczy Polska jest na drugim miejscu w Europie pod względem użycia podatnych trackerów.

Zaleca się całkowite wyłączenie urządzenia (do momentu pojawienia się łatek). Zmiana wspomnianego powyżej hasła niekoniecznie pomaga – będzie dostęp do odczytu pewnych danych z urządzenia, a ponadto:

123456 is the default GPS tracker password, which should be changed. However, some commands work even without a password.

~Michał Sajdak