Sicherheitsforscher warnen, dass es kritische Sicherheitsschwachstellen in einem beliebten GPS-Tracker gibt, der von kritischen Infrastrukturen, Regierungen und Notdiensten weltweit zur Verfolgung von Fahrzeugflotten eingesetzt wird. Diese könnten dazu genutzt werden, Fahrzeuge aus der Ferne zu verfolgen, zu stoppen und sogar die Kontrolle über sie zu übernehmen.

Sechs Schwachstellen in den Geräten des chinesischen Herstellers MiCODUS MV720 GPS-Trackern für Fahrzeuge – darunter die Verwendung einfacher Standardpasswörter – wurden von den Cybersecurity-Forschern von BitSight detailliert beschrieben.

Sie warnen, dass deshalb MiCODUS MV720 GPS-Tracker nicht verwendet werden sollten, bis ein Sicherheitsupdate zur Verfügung gestellt wird. Es wird davon ausgegangen, dass 1,5 Millionen MiCODUS-Geräte in 169 Ländern im Einsatz sind.

Die US-Behörde CISA hat ebenfalls eine Warnung über die Schwachstellen herausgegeben und davor gewarnt, dass sie den Zugang zu den Kraftstoffvorräten und die Fahrzeugsteuerung beeinträchtigen und die Überwachung des Standorts von Fahrzeugen, in denen das Gerät installiert ist, ermöglichen könnten.

Trotz der Schwere der Sicherheitslücken und der relativen Leichtigkeit, mit der sie ausgenutzt werden können, ist kein Sicherheits-Patch verfügbar. Nach Angaben der BitSight-Forscher haben sowohl sie als auch die CISA wiederholt versucht, MiCODUS zu kontaktieren.

Laut BitSight könnten die Schwachstellen es Angreifern ermöglichen, Einsatzfahrzeuge zu stören, Lieferketten zu unterbrechen, die unrechtmäßige Verfolgung von Zivilisten, Politikern und Wirtschaftsführern zu ermöglichen. Aufgrund der Verwendung der Tracker durch die Streitkräfte mehrerer Länder könnte es sogar Auswirkungen auf die nationale Sicherheit haben.

Unter den Schwachstellen befinden sich zwei, die mit einem CVSS-Wert (Common Vulnerability Scoring System) von 9,8 als kritisch eingestuft werden. Bei der ersten handelt es sich um CVE-2022-2107, eine Sicherheitslücke im Zusammenhang mit einem fest kodierten Master-Passwort, die es einem Angreifer ermöglicht, sich beim Webserver anzumelden, sich als Benutzer auszugeben und direkt SMS-Befehle an den GPS-Tracker zu senden, als ob er der echte Benutzer wäre.

Die zweite Schwachstelle ist CVE-2022-2141, eine unsachgemäße Authentifizierung, die es entfernten Angreifern ermöglicht, Befehle per SMS ohne jegliche Authentifizierung auszuführen, wodurch der Angreifer die Kontrolle über Fahrzeuge erlangen kann.

Die GPS-Geräte werden außerdem mit einem Standardpasswort ausgeliefert, das nicht geändert werden muss. Laut BitSight zeigt ihre Analyse, dass viele Benutzer dieses einfachste aller Passwörter nicht geändert haben, wodurch die GPS-Tracker anfällig für Fernzugriffe sind.

Zu den weiteren Schwachstellen gehören eine Cross-Scripting-Schwachstelle (CVE-2022-2199), die es einem Angreifer ermöglichen könnte, die Kontrolle zu erlangen, indem er einen Benutzer dazu bringt, eine Anfrage zu stellen, sowie eine Schwachstelle zur Umgehung von Berechtigungen (CVE-2022-34150), die es Angreifern ermöglicht, auf die Daten einer beliebigen Geräte-ID in der Server-Datenbank zuzugreifen und so persönliche Informationen zu sammeln.

Die Forscher haben auch eine Schwachstelle im Webserver (CVE-2022-33944) ausgemacht, die es nicht authentifizierten Benutzern ermöglicht, Excel-Berichte über Geräteaktivitäten zu erstellen, wie z. B. GPS-bezogene Standorte, die angeben, wo und wie lange ein Fahrzeug angehalten hat.

Laut BitSight verwenden mehrere große Regierungsorganisationen und andere große Unternehmen MiCODUS-GPS-Tracker, darunter eine nationale Regierung und eine nationale Strafverfolgungsbehörde in Westeuropa, ein staatliches ukrainisches Transportsystem und eine führende Bank in Kiew, ein Militär in Südamerika, ein Kernkraftwerksbetreiber, mehrere Fortune-50-Unternehmen und ein Bundesstaat an der Ostküste der Vereinigten Staaten.

„Die Schwachstellen können sich direkt auf unsere physische Welt auswirken und möglicherweise katastrophale Folgen für Einzelpersonen und Organisationen haben, wenn sie nicht behoben werden“, so Stephen Harvey, CEO von BitSight.

ZDNet.de Redaktion

Recent Posts

Weltweiter PC-Markt schrumpft im dritten Quartal

Während der US-Markt um 5,6 Prozent wächst, bricht der Absatz in China um 10 Prozent…

16 Stunden ago

Wie haben technologische Innovationen das Internet sicherer gemacht?

Mit der wachsenden Verbreitung digitaler Technologien haben auch die Bedrohungen im Internet in den letzten…

18 Stunden ago

Oktober-Patchday: Microsoft schließt aktiv ausgenutzte Zero-Day-Lücken

Von fünf Zero-Day-Lücken werden zwei bereits von Hackern eingesetzt. Insgesamt bringt der Oktober-Patchday Fixes für…

18 Stunden ago

KI-Bots auf der Spur

KI-Bots scrapen durchs Netz, sammeln Inhalte, um KI-Modelle wie Chat GPT zu füttern. Lässt sich…

22 Stunden ago

Surfen im Zug: 200 Mbit/s auf 99 Prozent der Hauptstrecken

Bilanz nach drei Jahren Kooperation: Zugreisende Telekom-Kunden haben auf vielen Bahnstrecken ordentliche Bandbreiten.

23 Stunden ago

Nur knapp jede/r fünfte nutzt Passkeys

Obwohl das Verfahren in punkto Sicherheit und Usability überzeugt, ist dies zu wenigen bekannt und…

24 Stunden ago