Falha grave em rastreador GPS popular no Brasil permite desligar veículos a distância
Vulnerabilidade permite que, com o envio de um SMS, atacante assuma o controle total do rastreador GPS e até corte o combustível do veículoBy - Cesar Schaeffer, 19 julho 2022 às 16:37
Milhões de veículos em todo o mundo – inclusive no Brasil – podem ser rastreados e até terem seus motores desligados a distância graças a falhas de segurança descobertas em um rastreador GPS fabricado no China e vendido online em diversos sites.
Nesta terça-feira (19), a BitSight – uma empresa de segurança cibernética – revelou ter encontrado seis falhas no MV720, um rastreador GPS produzido pela empresa chinesa de eletrônicos Micodus. Segundo o estudo, as vulnerabilidades “não são difíceis de explorar” e podem não estar limitadas a um único dispositivo.
A Micodus alega ter mais de 1,5 milhão de rastreadores GPS em uso em mais de 420.000 clientes em todo o mundo, incluindo empresas com frotas de veículos, militares e governos nacionais.
Entre as vulnerabilidades encontradas, duas são especialmente “graves”. A mais grave envolve uma senha codificada que pode ser usada para obter controle total de qualquer rastreador GPS, acesso à localização em tempo real dos veículos, rotas anteriores e ainda cortar remotamente o suprimento de combustível. Como a senha é incorporada diretamente no código do aplicativo Android, qualquer pessoa pode vasculhar o código e encontrá-lo.
123456
O estudo ainda descobriu que o dispositivo da Micodus vem com a senha padrão “123456”, permitindo que qualquer pessoa acesse os rastreadores GPS que não alteraram a combinação de segurança.
Ainda segundo a BitSight, 95% de uma amostra de 1.000 dispositivos testados estavam acessíveis com a senha padrão inalterada.
Rastreador GPS popular no Brasil
Os pesquisadores encontraram o rastreador GPS MV720 da Micodus em diferentes partes do mundo, mas a maior concentração de dispositivos está na Rússia, Ucrânia, Uzbequistão e Brasil.
O CEO da BitSight, Stephen Harvey, disse que as vulnerabilidades têm o potencial de resultar em “consequências desastrosas” para os proprietários de veículos afetados.
Tanto a empresa de segurança que descobriu o problema como a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) entraram em contato com a Micodus, que não respondeu ou ofereceu qualquer solução ao problema. O primeiro “aviso” foi feito em setembro de 2021, mas nenhum esforço foi feito para corrigir as vulnerabilidades.
Dada a gravidade do problema, a indicação no momento é para que os proprietários de veículos removam os dispositivos o mais rapidamente possível para mitigar o risco.
Comentários