Un tracker GPS populaire utilisé dans des millions de véhicules à travers le monde s’est avéré présenter de multiples vulnérabilités de gravité élevée, qui permettent aux acteurs de la menace de suivre l’emplacement des véhicules, d’éteindre complètement les véhicules, de couper leur carburant et de contrôler les appareils. à distance.
Pour aggraver les choses, le fabricant ne semble pas du tout intéressé à corriger les défauts.
Un rapport (s’ouvre dans un nouvel onglet) par BitSight a déclaré que le MiCODUS MV720 GPS Tracker, un produit chinois, comportait six vulnérabilités de haute gravité. Ceux-ci sont désormais suivis en tant que CVE-2022-2107 ; CVE-2022-2141 ; CVE-2022-2199 ; CVE-2022-34150 ; et CVE-2022-33944, dont l’un détient un score de gravité de 9,8.
Défauts de base
Ajouter l’insulte à l’injure est le fait que les défauts ne sont pas si difficiles à exploiter. Pedro Umbelino, chercheur principal en sécurité chez BitSight, explique que la société a découvert que l’interface Web et l’application mobile partageaient le même mot de passe par défaut, tandis que le traceur GPS accepte certaines commandes même sans authentification.
« Les défauts de base de l’architecture système globale de ce fournisseur soulèvent des questions importantes sur la vulnérabilité des autres modèles », a-t-il conclu.
Le pire, c’est que le fabricant ne semble pas du tout intéressé à boucher ces trous. BitSight dit avoir contacté l’entreprise, mais ses avertissements sont tombés dans l’oreille d’un sourd : « BitSight a partagé ses recherches avec la Cybersecurity and Infrastructure Security Agency (CISA) du Département américain de la sécurité intérieure lorsque ses efforts de divulgation de vulnérabilité à MiCODUS ont été ignorés ». rapport indiqué.
Jusqu’à ce que le fabricant remédie aux problèmes, la société a conclu que les entreprises et les particuliers devraient cesser d’utiliser le traqueur GPS MiCODUS MV720, car le risque est beaucoup trop grand. À l’heure actuelle, MiCODUS compte plus de 420 000 clients, y compris le gouvernement, l’armée, les forces de l’ordre et les entreprises Fortune 1000, affirme BitSight.
« Si la Chine peut contrôler à distance des véhicules aux États-Unis, nous avons un problème », a déclaré Richard Clarke, expert en sécurité nationale de renommée internationale et ancien conseiller présidentiel sur la cybersécurité.
« Avec la croissance rapide de l’adoption des appareils mobiles et le désir de notre société d’être plus connectée, il est facile d’oublier le fait que les dispositifs de suivi GPS tels que ceux-ci peuvent augmenter considérablement le cyber-risque s’ils ne sont pas conçus dans un souci de sécurité. Les résultats des recherches de BitSight soulignent à quel point disposer d’une infrastructure IoT sécurisée est encore plus critique lorsque ces vulnérabilités peuvent facilement être exploitées pour avoir un impact sur notre sécurité personnelle et nationale, et conduire à des résultats extrêmes tels qu’une interruption de la gestion de flotte à grande échelle et même des pertes de vie.