Un traqueur GPS de fabrication chinoise très vulnérable

Chercheurs : le traqueur GPS fabriqué en Chine est très vulnérable

Le siège du département américain de la sécurité intérieure dans le nord-ouest de Washington est photographié le 25 février 2015. Un tracker GPS automobile populaire fabriqué en Chine et utilisé par des particuliers, des agences gouvernementales et des entreprises dans 169 pays présente de graves vulnérabilités logicielles, ce qui représente un danger potentiel pour la vie et l’intégrité physique. , la sécurité nationale et les chaînes d’approvisionnement, ont déclaré des chercheurs en cybersécurité dans un rapport publié le mardi 19 juillet 2022, coïncidant avec un avis de la US Cybersecurity and Infrastructure Security Agency énumérant six vulnérabilités. Crédit : AP Photo/Manuel Balce Ceneta, Fichier

Un tracker GPS automobile fabriqué en Chine et utilisé dans 169 pays présente de graves vulnérabilités logicielles, ce qui représente un danger potentiel pour la sécurité routière, la sécurité nationale et les chaînes d’approvisionnement, ont découvert des chercheurs en cybersécurité.

Un rapport de la société de cybersécurité de Boston BitSight indique que les failles pourraient permettre aux attaquants de détourner à distance des véhicules équipés d’appareils, de leur couper le carburant et de prendre le contrôle pendant qu’ils voyagent.

Les chercheurs disent que les utilisateurs doivent immédiatement désactiver le tracker GPS MV720 jusqu’à ce qu’un correctif soit disponible. Le rapport a été publié mardi pour coïncider avec un avis de la US Cybersecurity and Infrastructure Security Agency énumérant cinq vulnérabilités.

BitSight a déclaré avoir tenté sans succès pendant des mois – à partir de septembre, avec la CISA le rejoignant fin avril – d’engager le fabricant, basé à Shenzen, MiCODUS, dans une discussion sur les vulnérabilités. L’Associated Press a téléphoné et envoyé un e-mail à l’entreprise mais n’a obtenu aucune réponse. Une personne qui a répondu à un numéro de téléphone indiqué sur son site Web n’a pas pu répondre en anglais.

La CISA a déclaré dans un communiqué qu’elle n’était au courant d’aucune “exploitation active” des vulnérabilités.

Les trackers GPS sont utilisés dans le monde entier pour surveiller les flottes de véhicules – des camions aux autobus scolaires en passant par les véhicules militaires – et les protéger contre le vol. En plus de collecter des données sur l’emplacement des véhicules, ils surveillent généralement d’autres paramètres, tels que le comportement du conducteur et la consommation de carburant. Grâce à l’accès à distance, beaucoup sont câblés pour couper le carburant ou l’alarme d’un véhicule, verrouiller ou déverrouiller ses portes et plus encore.

En utilisant le MV720, qui, selon BitSight, coûte moins de 25 $ par unité, un utilisateur malveillant pourrait couper à distance la conduite de carburant d’un véhicule en mouvement, connaître l’emplacement en temps réel d’un véhicule à des fins d’espionnage ou intercepter et souiller l’emplacement ou d’autres données à saboter opérations, a déclaré le chercheur principal de BitSight sur le projet, Pedro Umbelino.

Il a déclaré que plusieurs scénarios malveillants sont possibles : les véhicules des premiers intervenants pourraient être paralysés, ou un pirate informatique pourrait éteindre un moteur et exiger une rançon en crypto-monnaie des victimes pour éviter d’appeler un mécanicien.

Les principales vulnérabilités : l’appareil est livré avec un mot de passe par défaut que plus de 90 % des utilisateurs ne changent pas, et il existe un deuxième mot de passe obscur mais codé en dur qui fonctionne pour tous les appareils, a découvert BitSight. Il a également trouvé des failles de sécurité dans le logiciel du serveur Web utilisé pour gérer à distance les appareils GPS.

Le fabricant MiCODUS revendique une base installée de 1,5 million d’appareils sur 420 000 clients, a déclaré BitSight. Ses recherches ont révélé qu’ils comprenaient une société énergétique Fortune 50 et une société aérospatiale, une armée nationale en Amérique du Sud et en Europe de l’Est, un exploitant de centrale nucléaire et une agence nationale d’application de la loi en Europe occidentale. Il n’en a nommé aucun. Pays comptant le plus d’utilisateurs inclus, par continent : Brésil, Mexique, Espagne et Russie.

Richard Clarke, l’ancien tsar américain de la cybersécurité, a qualifié l’appareil GPS non sécurisé d’un autre exemple de produit intelligent fabriqué en Chine “qui téléphone à la maison et pourrait être utilisé à des fins malveillantes par le gouvernement chinois”.

Alors que Clarke a dit qu’il doutait que le tracker ait été conçu à cette fin, le danger est réel car les entreprises chinoises sont obligées par la loi de suivre les ordres de leur gouvernement – c’est pourquoi Washington a cherché à minimiser les composants chinois dans les réseaux de télécommunications américains et pourquoi certains au Congrès font pression pour interdire les achats de drones chinois par le gouvernement américain.

“Vous vous demandez simplement, à quelle fréquence allons-nous trouver ces choses qui sont des infrastructures – où il y a un potentiel d’abus chinois – et les utilisateurs ne le savent pas?” dit Clarke.


Dispositif de chasteté masculin «intelligent» vulnérable au verrouillage par des pirates: chercheurs


© 2022 L’Associated Press. Tous les droits sont réservés. Ce matériel ne peut être publié, diffusé, réécrit ou redistribué sans autorisation.

Citation: Chercheurs : le traqueur GPS de fabrication chinoise hautement vulnérable (19 juillet 2022) récupéré le 19 juillet 2022 sur https://techxplore.com/news/2022-07-chinese-made-gps-tracker-highly-vulnerable.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.