A empresa de segurança da informação BitSight descobriu seis vulnerabilidades no popular rastreador GPS MV720 da empresa chinesa MiCODUS. Normalmente, esses rastreadores são usados por empresas para monitorar frotas e por consumidores para acompanhar seus veículos em caso de roubo. A exploração das vulnerabilidades mencionadas permite em alguns casos afetar o funcionamento do motor e rastrear a localização de mais de 1,5 milhão de veículos.
Fonte da imagem: Dezalb / Pixabay
O relatório diz que os especialistas da BitSight conseguiram identificar problemas não apenas no próprio rastreador, mas também no servidor web que é usado para transferir dados. Os rastreadores MV720 foram considerados vulneráveis a ataques man-in-the-middle, onde um invasor poderia retransmitir e, se necessário, modificar dados transmitidos entre duas partes. A exploração de vulnerabilidades pode dar a um invasor controle total sobre um rastreador GPS.
«A exploração dessas vulnerabilidades pode ter consequências catastróficas e até fatais. Por exemplo, um invasor pode usar algumas vulnerabilidades para cortar o combustível de uma frota inteira de veículos comerciais ou de emergência. Ou um invasor pode usar dados de GPS para rastrear e desligar o motor de repente em estradas perigosas”, disse a BitSight no relatório.
A BitSight supostamente tentou entrar em contato com o MiCODUS para relatar o problema já em setembro de 2021. No entanto, a fabricante chinesa de rastreadores GPS não fez contato e ainda não corrigiu as vulnerabilidades identificadas. Os pesquisadores observam que não houve casos de exploração das vulnerabilidades do rastreador MV720 na prática.