मुख्य तथ्य
- शोधकर्ताओं ने लाखों वाहनों में इस्तेमाल होने वाले लोकप्रिय जीपीएस ट्रैकर में महत्वपूर्ण कमजोरियों का पता लगाया है।
- बग ठीक नहीं हैं क्योंकि निर्माता शोधकर्ताओं और यहां तक कि साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (सीआईएसए) के साथ जुड़ने में विफल रहे हैं।
- यह संपूर्ण स्मार्ट डिवाइस पारिस्थितिकी तंत्र में अंतर्निहित समस्या का केवल एक भौतिक प्रकटीकरण है, सुरक्षा विशेषज्ञों का सुझाव है।
सुरक्षा शोधकर्ताओं ने एक लोकप्रिय जीपीएस ट्रैकर में गंभीर कमजोरियों का खुलासा किया है जो दुनिया भर में एक लाख से अधिक वाहनों में उपयोग किया जाता है।
सुरक्षा विक्रेता BitSight के शोधकर्ताओं के अनुसार, यदि शोषण किया जाता है, तो MiCODUS MV720 वाहन GPS ट्रैकर में छह कमजोरियां खतरे वाले अभिनेताओं को वाहन को ट्रैक करने या उसके ईंधन को काटने सहित डिवाइस के कार्यों तक पहुंचने और नियंत्रित करने में सक्षम बना सकती हैं। आपूर्ति। जबकि सुरक्षा विशेषज्ञों ने समग्र रूप से स्मार्ट, इंटरनेट-सक्षम उपकरणों में ढीली सुरक्षा के बारे में चिंता व्यक्त की है, बिटसाइट अनुसंधान हमारी गोपनीयता और सुरक्षा दोनों के लिए विशेष रूप से चिंताजनक है।
“दुर्भाग्य से, इन कमजोरियों का फायदा उठाना मुश्किल नहीं है,” बिटसाइट के प्रमुख सुरक्षा शोधकर्ता पेड्रो उम्बेलिनो ने एक प्रेस विज्ञप्ति में कहा। "इस विक्रेता के समग्र सिस्टम आर्किटेक्चर में बुनियादी खामियां अन्य मॉडलों की भेद्यता के बारे में महत्वपूर्ण प्रश्न उठाती हैं।"
रिमोट कंट्रोल
रिपोर्ट में, BitSight का कहना है कि उसने MV720 पर ध्यान केंद्रित किया क्योंकि यह कंपनी का सबसे कम खर्चीला मॉडल था जो एंटी-थेफ्ट, फ्यूल कट-ऑफ, रिमोट कंट्रोल और जियोफेंसिंग क्षमता प्रदान करता है।सेलुलर-सक्षम ट्रैकर अपनी स्थिति और स्थान अपडेट को सहायक सर्वरों तक प्रसारित करने के लिए एक सिम कार्ड का उपयोग करता है और एसएमएस के माध्यम से अपने वैध मालिकों से आदेश प्राप्त करने के लिए डिज़ाइन किया गया है।
BitSight का दावा है कि उसने बिना ज्यादा मेहनत किए कमजोरियों का पता लगा लिया। इसने पांच दोषों के लिए अवधारणा (पीओसी) कोड का सबूत भी विकसित किया ताकि यह प्रदर्शित किया जा सके कि कमजोरियों का जंगली में बुरे अभिनेताओं द्वारा शोषण किया जा सकता है।
और यह केवल ऐसे व्यक्ति नहीं हैं जो प्रभावित हो सकते हैं। ट्रैकर्स कंपनियों के साथ-साथ सरकार, सैन्य और कानून प्रवर्तन एजेंसियों के साथ लोकप्रिय हैं। इसने शोधकर्ताओं को अपने शोध को CISA के साथ साझा करने के लिए प्रेरित किया, क्योंकि यह शेन्ज़ेन, चीन स्थित निर्माता और ऑटोमोटिव इलेक्ट्रॉनिक्स और एक्सेसरीज़ के आपूर्तिकर्ता से सकारात्मक प्रतिक्रिया प्राप्त करने में विफल रहा।
जब CISA भी MiCODUS से प्रतिक्रिया प्राप्त करने में विफल रहा, तो एजेंसी ने बग्स को सामान्य कमजोरियों और एक्सपोजर (CVE) सूची में जोड़ने के लिए इसे अपने ऊपर ले लिया और उन्हें एक सामान्य भेद्यता स्कोरिंग सिस्टम (CVSS) स्कोर सौंपा, उनमें से एक जोड़े ने 9 का गंभीर गंभीरता स्कोर अर्जित किया।10 में से 8.
इन कमजोरियों का शोषण कई संभावित हमले परिदृश्यों की अनुमति देगा, जो "विनाशकारी और यहां तक कि जीवन-धमकी देने वाले प्रभाव" हो सकते हैं, रिपोर्ट में शोधकर्ताओं को ध्यान दें।
सस्ता रोमांच
आसानी से इस्तेमाल किया जा सकने वाला जीपीएस ट्रैकर इंटरनेट ऑफ थिंग्स (IoT) उपकरणों की वर्तमान पीढ़ी के साथ कई जोखिमों को उजागर करता है, शोधकर्ताओं को ध्यान दें।
रोजर ग्रिम्स, ग्रिम्स ने ईमेल पर लाइफवायर को बताया। आपकी बातचीत रिकॉर्ड करने के लिए आपके सेल फोन से समझौता किया जा सकता है। आपको और आपकी मीटिंग को रिकॉर्ड करने के लिए आपके लैपटॉप का वेबकैम चालू किया जा सकता है। और आपकी कार के जीपीएस ट्रैकिंग डिवाइस का उपयोग विशिष्ट कर्मचारियों को खोजने और वाहनों को अक्षम करने के लिए किया जा सकता है।”
शोधकर्ताओं ने नोट किया कि वर्तमान में, MiCODUS MV720 GPS ट्रैकर उल्लिखित खामियों के प्रति संवेदनशील है क्योंकि विक्रेता ने कोई समाधान उपलब्ध नहीं कराया है। इसके कारण, BitSight अनुशंसा करता है कि इस GPS ट्रैकर का उपयोग करने वाला कोई भी व्यक्ति इसे तब तक अक्षम कर दे, जब तक कि कोई समाधान उपलब्ध न हो जाए।
इस पर निर्माण, ग्रिम्स बताते हैं कि पैचिंग एक और समस्या प्रस्तुत करता है, क्योंकि IoT उपकरणों पर सॉफ़्टवेयर फ़िक्सेस स्थापित करना विशेष रूप से कठिन है। "यदि आपको लगता है कि नियमित सॉफ़्टवेयर को पैच करना कठिन है, तो IoT उपकरणों को पैच करना दस गुना कठिन है," ग्रिम्स ने कहा।
एक आदर्श दुनिया में, किसी भी अपडेट को स्वचालित रूप से स्थापित करने के लिए सभी IoT उपकरणों में ऑटो-पैचिंग होगी। लेकिन दुर्भाग्य से, ग्रिम्स बताते हैं कि अधिकांश IoT उपकरणों के लिए लोगों को उन्हें मैन्युअल रूप से अपडेट करने की आवश्यकता होती है, सभी प्रकार के हुप्स के माध्यम से कूदना जैसे कि असुविधाजनक शारीरिक कनेक्शन का उपयोग करना।
"मैं अनुमान लगाता हूं कि 90% कमजोर जीपीएस ट्रैकिंग डिवाइस कमजोर और शोषक रहेंगे यदि और जब विक्रेता वास्तव में उन्हें ठीक करने का फैसला करता है," ग्रिम्स ने कहा। "IoT डिवाइस कमजोरियों से भरे हुए हैं, और यह नहीं होगा भविष्य में बदलाव चाहे इनमें से कितनी भी कहानियां सामने आएं।"