Életveszélyes lehet a MICODUS MV720 GPS
- A rendszer biztonsági résein keresztül bárki átveheti az irányítást az autó felett.
- Illetéktelenek nyomon követhetik a kiszemelt jármű mozgását és le is állíthatják azt.
- Eltüntethetik az autót: kikapcsolhatják a riasztót és átírhatják a nyomkövető adatait.
Életveszélyes lehet a világszerte több mint másfélmillió gépjárműben használt MICODUS MV720 GPS – figyelmeztet honlapján a Nemzeti Kibervédelmi Intézet (NKI) az amerikai kormányzati kiberügynökség, a CISA (Cybersecurity and Infrastructure Security Agency) riasztása alapján.
E Kínában gyártott GPS nyomkövetőt az egyéni vásárlók lopásvédelemre és helymeghatározásra, az intézményi felhasználók járműflotta kezelésre használják. Felhasználói között multinacionális vállalatok, kormányzati szervek is megtalálhatók, de számos országban a hadsereg és a biztonsági szolgálatok is használják!
Az eszközt bárki megvásárolhatja Magyarországon is 15-25 ezer forint körüli áron – ezért is adott ki figyelmeztetést az ügyben az NKI –, de az aliexpress.com-on olcsóbban is beszerezhető. Az eszköz leírásában Magyarország a „támogatott országok” között szerepel, ami azt jelenti, hogy a MICODUS MV720 minden funkciója nálunk is használható.
Több kiberbiztonsággal foglalkozó szervezet összesen hat olyan biztonsági rést fedezett fel a közelmúltban MICODUS MV720 szoftverében, amelyek veszélyessé, bizonyos helyzetekben életveszélyessé tehetik a használatát. Az eddig megtalált biztonsági réseken keresztül például hackerek – de bárki más is, aki rátalál azokra vagy megvásárolja az azok megtalálásához szükséges információkat – behatolhatnak a GPS rendszerébe, és ott szinte bármit megtehetnek ez után.
Feltörhetik a nyomkövető rendszert és rekonstruálhatják a használója addigi mozgását – ez a lehetőség elsősorban a különböző államok hírszerzéseinek és információszerzéssel foglalkozó magáncégek számára lehet „hasznos hiba”. Azonban az azonosított biztonsági réseken keresztül a rendszerbe jutva hackerek képesek lehetnek befolyásolni a jármű üzemanyag-felhasználását, mozgását, akár le is állíthatják a motorját menet közben. Ez a kockázat már a hétköznapi felhasználók számára sem lehet közömbös.
A MICODUS MV720 biztonsági résein keresztül megfelelő informatikai tudás és technikai háttér birtokában (ez utóbbi csupán egy jobb minőségű laptopot és internet hozzáférést jelent) bárki átveheti az irányítást minden olyan jármű felett, amelyben ez helymeghatározó rendszer működik. Mindezeken kívül a távolból kikapcsolhatják a jármű riasztórendszerét, amivel nemcsak, hogy védtelenné tehetik a biztonságban lévőnek hitt járműveket, de a rendszer többi hibáját kihasználva nyomtalanul el is tüntethetik azt. Hiába a nyomkövetés, a tulajdonos, a flottakezelő nem fogja látni.
Átírhatják a GPS memóriájában a jármű mozgásáról addig rögzített adatokat is, így a meglopott tulajdonos nemcsak, hogy nem találja meg az autóját, ha mégis előkerülne az autó, a gazdája ellentmondásba keveredik az ügyben, hogy hol tette le az autóját, mielőtt ellopták volna. Mert a GPS memóriájából biztosan nem az a hely kerül majd elő, ahonnan ellopták az autót. Ez pedig felkeltheti a hatóságok gyanúját, hogy valóban lopás történt-e vagy biztosítási csalás kísérlete, amit pusztán az hiúsított meg, hogy még egyben rátaláltak az ellopott autóra.
Az amerikai kiberügynökség részletes tájékoztatást adott a MICODUS MV720 biztonsági kockázatairól és azok csökkentéséről. Azonban a legtöbb felhasználó számára az jelentheti a megoldást, ha szakemberekkel vizsgáltatják át az autójukba telepített GPS-t, vagy ha egyszerűen lecserélik azt.
A Nemzeti Kibervédelmi Intézet a CISA-vel partnerségben működő BitSight kiberbiztonsági ajánlása alapján egyelőre csak azt javasolja a magyar felhasználóknak, hogy a hiba súlyossága miatt azonnal tiltsák le a MiCODUS MV720 GPS nyomkövetők használatát addig, amíg a gyártó nem orvosolja a problémákat.
F.Gy.A.