Per GPS zum Autoklau

Sicherheitsforscher warnen, dass es kritische Sicherheitsschwachstellen in einem beliebten GPS-Tracker gibt, der von kritischen Infrastrukturen, Regierungen und Notdiensten weltweit zur Verfolgung von Fahrzeugflotten eingesetzt wird. Diese könnten dazu genutzt werden, Fahrzeuge aus der Ferne zu verfolgen, zu stoppen und sogar die Kontrolle über sie zu übernehmen.

Sechs Schwachstellen in den Geräten des chinesischen Herstellers MiCODUS MV720 GPS-Trackern für Fahrzeuge – darunter die Verwendung einfacher Standardpasswörter – wurden von den Cybersecurity-Forschern von BitSight detailliert beschrieben.

Sie warnen, dass deshalb MiCODUS MV720 GPS-Tracker nicht verwendet werden sollten, bis ein Sicherheitsupdate zur Verfügung gestellt wird. Es wird davon ausgegangen, dass 1,5 Millionen MiCODUS-Geräte in 169 Ländern im Einsatz sind.

Die US-Behörde CISA hat ebenfalls eine Warnung über die Schwachstellen herausgegeben und davor gewarnt, dass sie den Zugang zu den Kraftstoffvorräten und die Fahrzeugsteuerung beeinträchtigen und die Überwachung des Standorts von Fahrzeugen, in denen das Gerät installiert ist, ermöglichen könnten.

Trotz der Schwere der Sicherheitslücken und der relativen Leichtigkeit, mit der sie ausgenutzt werden können, ist kein Sicherheits-Patch verfügbar. Nach Angaben der BitSight-Forscher haben sowohl sie als auch die CISA wiederholt versucht, MiCODUS zu kontaktieren.

Laut BitSight könnten die Schwachstellen es Angreifern ermöglichen, Einsatzfahrzeuge zu stören, Lieferketten zu unterbrechen, die unrechtmäßige Verfolgung von Zivilisten, Politikern und Wirtschaftsführern zu ermöglichen. Aufgrund der Verwendung der Tracker durch die Streitkräfte mehrerer Länder könnte es sogar Auswirkungen auf die nationale Sicherheit haben.

Unter den Schwachstellen befinden sich zwei, die mit einem CVSS-Wert (Common Vulnerability Scoring System) von 9,8 als kritisch eingestuft werden. Bei der ersten handelt es sich um CVE-2022-2107, eine Sicherheitslücke im Zusammenhang mit einem fest kodierten Master-Passwort, die es einem Angreifer ermöglicht, sich beim Webserver anzumelden, sich als Benutzer auszugeben und direkt SMS-Befehle an den GPS-Tracker zu senden, als ob er der echte Benutzer wäre.

Die zweite Schwachstelle ist CVE-2022-2141, eine unsachgemäße Authentifizierung, die es entfernten Angreifern ermöglicht, Befehle per SMS ohne jegliche Authentifizierung auszuführen, wodurch der Angreifer die Kontrolle über Fahrzeuge erlangen kann.

Die GPS-Geräte werden außerdem mit einem Standardpasswort ausgeliefert, das nicht geändert werden muss. Laut BitSight zeigt ihre Analyse, dass viele Benutzer dieses einfachste aller Passwörter nicht geändert haben, wodurch die GPS-Tracker anfällig für Fernzugriffe sind.

Zu den weiteren Schwachstellen gehören eine Cross-Scripting-Schwachstelle (CVE-2022-2199), die es einem Angreifer ermöglichen könnte, die Kontrolle zu erlangen, indem er einen Benutzer dazu bringt, eine Anfrage zu stellen, sowie eine Schwachstelle zur Umgehung von Berechtigungen (CVE-2022-34150), die es Angreifern ermöglicht, auf die Daten einer beliebigen Geräte-ID in der Server-Datenbank zuzugreifen und so persönliche Informationen zu sammeln.

Die Forscher haben auch eine Schwachstelle im Webserver (CVE-2022-33944) ausgemacht, die es nicht authentifizierten Benutzern ermöglicht, Excel-Berichte über Geräteaktivitäten zu erstellen, wie z. B. GPS-bezogene Standorte, die angeben, wo und wie lange ein Fahrzeug angehalten hat.

Laut BitSight verwenden mehrere große Regierungsorganisationen und andere große Unternehmen MiCODUS-GPS-Tracker, darunter eine nationale Regierung und eine nationale Strafverfolgungsbehörde in Westeuropa, ein staatliches ukrainisches Transportsystem und eine führende Bank in Kiew, ein Militär in Südamerika, ein Kernkraftwerksbetreiber, mehrere Fortune-50-Unternehmen und ein Bundesstaat an der Ostküste der Vereinigten Staaten.

„Die Schwachstellen können sich direkt auf unsere physische Welt auswirken und möglicherweise katastrophale Folgen für Einzelpersonen und Organisationen haben, wenn sie nicht behoben werden“, so Stephen Harvey, CEO von BitSight.