Zdalne odcinanie paliwa i dezaktywacja alarmu. Służby ostrzegają przed popularnym lokalizatorem

Pewien popularny lokalizator dostępny na ulubionym chińskim portalu zakupowym Polaków okazał się w rzeczywistości śmiertelnie niebezpiecznym gadżetem. Niewielkie urządzenie, które miało służyć śledzeniu auta w przypadku kradzieży czy dostęp do zdalnego sterowania niektórymi funkcjami pojazdu, okazało się kompletnym przeciwieństwem bezpieczeństwa. Według amerykańskich służb tracker może być bowiem łatwo wykorzystany przez hakerów.

Chiński lokalizator pułapką na kierowców

Micodus MV720 to kompaktowe urządzenie śledzące, reklamowane jako tanie i proste zabezpieczenie samochodu przed niepożądanymi zdarzeniami. Gadżet przypominający niewielki przekaźnik jest w rzeczywistości lokalizatorem GPS, który po umieszczeniu w nim karty SIM i podłączeniu do pojazdu zapewnia szereg „przydatnych” funkcji, uruchamianych zdalnie.

Oprócz standardowej funkcji śledzenia pozwala między innymi na odcinanie dopływu paliwa czy monitorowanie prędkości auta przy pomocy dedykowanej aplikacji. I wszystko byłoby pięknie gdyby nie fakt, że lokalizator jest kompletnie podatny na ataki hakerskie.

Ponad 400 tysięcy potencjalnych ofiar

Według amerykańskiej firmy BitSight Micodus MV720 posiada co najmniej sześć luk w zabezpieczeniach, otwierających przed potencjalnym przestępcą drogę do szeregu niebezpiecznych nadużyć. Jednym z głównych problemów jest nieszyfrowana komunikacja HTTP, umożliwiająca niepożądanym osobom wykonywanie ataków przechwytujących lub zmieniających żądania wysyłane między aplikacją mobilną a serwerami. Sam mechanizm uwierzytelnienia w aplikacji także do idealnych nie należy. Wadliwe zabezpieczenia umożliwiają dostęp do zakodowanego klucza, dzięki czemu haker może zablokować moduł śledzący oraz użyć niestandardowego dresu IP do monitorowania komunikacji z i do urządzenia.

Czytaj dalej poniżej

Twój smartfon może wspomóc prognozowanie pogody dzięki odbiornikowi GPS Patryk Koncewicz

Sroki są tak mądre, że usunęły sobie zainstalowane przez naukowców GPS-y Krzysztof Kurdyła

Z uwagi na fakt, że Micodus MV720 umożliwia dokonywanie takich czynności jak odcięcie paliwa czy złamanie zabezpieczeń może doprowadzić do tragicznych wypadów. W związku z tym BitSight wspierany przez rząd USA ostrzega w opublikowanym raporcie przed korzystaniem z lokalizatora. To niewielkie urządzenie kosztujące aktualnie około 80 zł mocno rozpowszechniło się po całym świecie, zyskując aż 420 tysięcy klientów w 169 krajach, a pośród nich znaleźli się nie tylko zwykli zjadacze chleba, ale także organy ścigania czy organizacje wojskowe. Według chińskiego producenta sumaryczna liczba urządzeń, które trafiły do klientów, sięga 1,5 miliona.

BitSight po praz pierwszy kontaktował się z producentem we wrześniu. Przedstawiciele firmy zostali poinformowani o wykrytych lukach, jednak kontakt nie przyniósł żadnego rezultatu. Według przedstawionego raportu urządzenie nadal jest narażone na ataki pomimo pełnej świadomości twórców.

„Udane wykorzystanie tych luk może umożliwić atakującemu kontrolę nad dowolnym modułem śledzącym GPS MV720, zapewniając dostęp do lokalizacji, tras, poleceń odcięcia paliwa i rozbrojenia różnych funkcji (np. alarmów)” – BitSight

Przedstawiciele agencji bezpieczeństwa alarmują, że atakujący mogą przykładowo zdalnie odciąć dostęp do paliwa samochodów użytkowych czy ratunkowych, lub zatrzymywać pojazdy na niebezpiecznych autostradach doprowadzając do kompletnego chaosu. Istnieją dziesiątki innych scenariuszy, w których Micodus MV720 może stanowić bezpośrednie zagrożenie dla kierowców i osób postronnych. Przedsiębiorstwo odpowiedzialne za produkcję milczy i nie ma zamiaru składać żadnych wyjaśnień w tej sprawie.

Z raportu BitSight wynika, że Polska znajduje się na drugim miejsc w Europie pod względem ilości używanych lokalizatorów MV720, oraz na szóstym miejscu w skali ogólnoświatowej. Jeśli więc znasz kogoś, kto używa podejrzanego trackera lub sam należysz do grona użytkowników, lepiej zachowaj ostrożność i poinformuj innych o możliwym niebezpieczeństwie.

Stock image from Depositphotos