Rastreador vulnerável coloca em risco 1,5 milhão de veículos

Da Redação
19/07/2022

A CISA, agência de cibersegurança dos EUA, e a empresa BitSight publicaram na manhã de hoje um alerta e um relatório – respectivamente – sobre seis vulnerabilidades encontradas pela BitSight no rastreador de veículos Micodus MV720. O rastreador permite o controle físico externo do dispositivo rastreado, que aciona recursos antifurto, corte de combustível, controle remoto e geofencing (limites para o deslocamento do veículo). Analogamente, um invasore pode explorar algumas das vulnerabilidades para reduzir o combustível de uma frota inteira de veículos comerciais ou de emergência, aproveitar as informações do GPS para monitorar e parar abruptamente veículos, rastrear indivíduos ou exigir resgate para devolver os veículos desativados à condição de trabalho. Segundo o relatório da BitSight, existem cenários que podem resultar em perda de vidas, danos materiais, invasões de privacidade e ameaça à segurança nacional.

Veja isso
Pentágono e Orbital Insight criam anti spoofing de GPS
Falha em rastreador GPS expõe crianças e idosos

Na avaliação da empresa há 1,5 milhão de veículos no mundo utilizando esses dispositivos. Entre as organizações identificadas pela BitSight usando rastreadores GPS MiCODUS estão:

  • Uma empresa de energia, petróleo e gás da lista Fortune 50
  • Uma força militar nacional na América do Sul
  • Uma empresa de tecnologia da lista Fortune 50
  • Um operador de usina nuclear
  • Um estado na costa leste dos Estados Unidos

A recomendação da empresa é que os usuários parem imediatamente de usar ou desativem quaisquer rastreadores Micodus MV720 até que seja disponibilizada uma correção para as vulnerabilidades: “Durante um período de meses, a BitSight fez repetidas tentativas de compartilhar diretamente nossas descobertas com o Micodus. Após várias tentativas fracassadas de entrar em contato com o fabricante, a BitSight compartilhou sua pesquisa com a Agência de Segurança Cibernética e Segurança de Infraestrutura (CISA) do Departamento de Segurança Interna dos EUA, esperando que a CISA tivesse mais sucesso na comunicação com o fornecedor. Os esforços da CISA para se envolver com o fornecedor também não foram bem-sucedidos”.

O alerta da CISA está em “https://www.cisa.gov/uscert/ics/advisories/icsa-22-200-01” e o relatório da BitSight em “https://www.bitsight.com/sites/default/files/2022-07/MiCODUS-GPS-Report-Final.pdf”;

Compartilhar: