Conclusiones clave
- Los investigadores han descubierto vulnerabilidades críticas en un popular rastreador GPS utilizado en millones de vehículos.
- Los errores siguen sin parchearse ya que el fabricante no se comprometió con los investigadores e incluso con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
- Esto es solo una manifestación física de un problema que subyace a todo el ecosistema de dispositivos inteligentes, sugieren los expertos en seguridad.
Los investigadores de seguridad han descubierto vulnerabilidades graves en un popular rastreador GPS que se usa en más de un millón de vehículos en todo el mundo.
Según los investigadores del proveedor de seguridad BitSight, si se explotan, las seis vulnerabilidades en el rastreador GPS de vehículos MiCODUS MV720 podrían permitir a los actores de amenazas acceder y controlar las funciones del dispositivo, incluido el seguimiento del vehículo o cortar su combustible suministro. Si bien los expertos en seguridad han expresado su preocupación por la seguridad laxa en los dispositivos inteligentes habilitados para Internet en general, la investigación de BitSight es particularmente preocupante tanto para nuestra privacidad como para nuestra seguridad.
“Desafortunadamente, estas vulnerabilidades no son difíciles de explotar”, señaló Pedro Umbelino, investigador principal de seguridad de BitSight, en un comunicado de prensa. "Las fallas básicas en la arquitectura general del sistema de este proveedor plantean preguntas importantes sobre la vulnerabilidad de otros modelos".
Control remoto
En el informe, BitSight dice que se concentró en el MV720, ya que era el modelo más económico de la compañía que ofrece capacidades antirrobo, corte de combustible, control remoto y geoperimetraje. El rastreador habilitado para celulares utiliza una tarjeta SIM para transmitir sus actualizaciones de estado y ubicación a los servidores de soporte y está diseñado para recibir comandos de sus propietarios legítimos a través de SMS.
BitSight afirma que descubrió las vulnerabilidades sin mucho esfuerzo. Incluso desarrolló un código de prueba de concepto (PoC) para cinco de las fallas con el fin de demostrar que los malos actores pueden explotar las vulnerabilidades en la naturaleza.
Y no son solo las personas las que podrían verse afectadas. Los rastreadores son populares entre las empresas, así como entre las agencias gubernamentales, militares y policiales. Esto llevó a los investigadores a compartir su investigación con CISA después de que no obtuviera una respuesta positiva del fabricante y proveedor de electrónica y accesorios para automóviles con sede en Shenzhen, China.
Después de que CISA tampoco obtuviera una respuesta de MiCODUS, la agencia se encargó de agregar los errores a la lista de Vulnerabilidades y exposiciones comunes (CVE) y les asignó una puntuación del Sistema de puntuación de vulnerabilidad común (CVSS), con un par de ellos obteniendo una puntuación de gravedad crítica de 9.8 de 10.
La explotación de estas vulnerabilidades permitiría muchos posibles escenarios de ataque, que podrían tener "implicaciones desastrosas e incluso mortales", señalan los investigadores en el informe.
Emociones baratas
El rastreador GPS fácilmente explotable destaca muchos de los riesgos de la generación actual de dispositivos de Internet de las cosas (IoT), señalan los investigadores.
Roger Grimes, le dijo Grimes a Lifewire por correo electrónico. “Su teléfono celular puede verse comprometido para grabar sus conversaciones. La cámara web de su computadora portátil se puede encender para grabarlo a usted y a sus reuniones. Y el dispositivo de rastreo GPS de su automóvil se puede usar para encontrar empleados específicos y desactivar vehículos”.
Los investigadores señalan que actualmente, el rastreador GPS MiCODUS MV720 sigue siendo vulnerable a las fallas mencionadas ya que el proveedor no ha puesto a disposición una solución. Debido a esto, BitSight recomienda que cualquier persona que use este rastreador GPS lo deshabilite hasta que haya una solución disponible.
Basándose en esto, Grimes explica que la aplicación de parches presenta otro problema, ya que es particularmente difícil instalar parches de software en dispositivos IoT. "Si cree que es difícil parchear el software normal, es diez veces más difícil parchear los dispositivos IoT", dijo Grimes.
En un mundo ideal, todos los dispositivos IoT tendrían parches automáticos para instalar cualquier actualización automáticamente. Pero desafortunadamente, Grimes señala que la mayoría de los dispositivos IoT requieren que las personas los actualicen manualmente, s altando a través de todo tipo de obstáculos, como usar una conexión física inconveniente.
"Yo especularía que el 90 % de los dispositivos de rastreo GPS vulnerables seguirán siendo vulnerables y explotables cuando el proveedor decida repararlos", dijo Grimes. "Los dispositivos IoT están llenos de vulnerabilidades, y esto no cambiar hacia el futuro sin importar cuántas de estas historias salgan a la luz”.