中国车载追踪器漏洞曝光
-
中国制造车辆定位追踪器漏洞被曝光,美国政府发出警告
华盛顿(美联社) — 一家美国网络安全公司周二(7月19日)发布报告称,一款在中国生产并已在全球169个国家使用的一款车辆(全球卫星定位系统)定位追踪器存在严重的安全漏洞,可能威胁公路安全、国家安全和供应链。美国政府的网络安全部门也同时发出警告。
该追踪器型号为720,由深圳市米可达斯电子科技有限公司生产。波士顿网络安全公司称,这些缺陷可能允许攻击者远程劫持装有此设备的车辆,切断燃油供应或控制行驶中的车辆。研究人员建议用户在解决方案出现之前立即卸载该型号的追踪器。
同时,美国国土安全部下属的网络安全与基础设施安全局(CISA)也发布公告,列出了这款设备的五个安全隐患。该公司自去年9月开始试图联系设备制造商米可达斯公司,讨论如何解决这些漏洞,但数月来都没有成功,最终于今年4月介入。
米可达斯公司负责人里奥周三(7月20日)告诉美联社,去年收到一份邮件声称存在安全漏洞的问题,但他无法确认对方的身份,加上同行业中没有人遇到类似的情况,因此一直以为是垃圾邮件,没有重视。他说:“如果真的有漏洞,我们会去查漏补缺,会完善这个问题。”
该公司在一份声明中表示,目前尚未看到这些安全隐患“存在任何被利用的情况”。
这款追踪器广泛用于对各种车辆进行定位和跟踪,包括卡车、校车和军用车辆,以防止车辆被盗。除了收集车辆位置数据,这些追踪器通常还会监控驾驶员行为和燃油使用等其他参数。许多设备在安装后,还能遥控切断车辆的供油和警报,控制车门的上锁和开锁等等。
报告的首席作者佩德罗·昂贝里诺表示,如果车辆安装了720追踪器,恶意使用者可以远程切断行驶中车辆的燃油供应、了解车辆实时位置以便进行监视,或者通过拦截和修改位置或其他数据来蓄意破坏车辆运行。他指出这款追踪器的售价不到25美元。
昂贝里诺说,可能存在多种恶意情况:急救人员的车辆可能会瘫痪,或者黑客可能会关闭发动机,然后威胁受害人说,如果不想花钱请人来修车,就要支付加密货币赎金。
报告发现的主要安全隐患是:设备自带默认密码,而超过90%的用户都不会修改密码;还有一个对所有设备都适用的复杂的但是写死的硬编码。报告还发现用来远程管理设备的网络服务器的软件也存在安全缺陷。
该报告还称,米可达斯声称有42万客户安装了150万个他们的设备,研究人员发现其中包括一家世界50强能源企业、一家航天航空企业、南美和东欧的国家军方机构、一个核电站操作机构、西欧的一个国家执法部门。报告没有列出这些机构的名字。报告说,设备用户最多的国家包括巴西、墨西哥、西班牙和俄罗斯。
里奥对美国之音说,他不清楚报告中的这些数据是怎么来的。他坚持说,720这款型号的销量不超过10万台,而公司所有产品加在一起也没有100多万台。“最最困惑的是为什么会盯上我们公司的这款产品,这个产品在同行业来讲的话,销量是九牛一毛,甚至都谈不上,”他说。
美联社援引曾经担任美国总统网络安全特别顾问的理查德·克拉克的话说,这个不安全的设备是中国制造的智能产品“传输数据,并且可以被中国政府恶意利用”的又一个例子。
里奥说,他们只是一家商业公司,“不参与任何政治问题,到目前为止,没有任何政府的人或机构强行要我们干什么。” 他说,公司欢迎任何客户或像这样的网络安全公司提出任何意见和反馈任何安全方面的问题,但希望“都是善意的,不是恶意。”
克拉克虽然不觉得这款定位追踪设备是为恶意目的而设计的,但他认为威胁却是切实的,因为中国公司根据法律有义务遵守他们政府的命令——这也是为什么华盛顿一直寻求在美国的电信网络中最大程度减少使用中国的零部件,以及用户却毫不知情?
(本文参考了美联社的报道。)