Milhões de veículos em todo o mundo – inclusive no Brasil – podem ser rastreados e até terem seus motores desligados a distância graças a falhas de segurança descobertas em um rastreador GPS fabricado no China e vendido online em diversos sites.

Nesta terça-feira (19), a BitSight – uma empresa de segurança cibernética – revelou ter encontrado seis falhas no MV720, um rastreador GPS produzido pela empresa chinesa de eletrônicos Micodus. Segundo o estudo, as vulnerabilidades “não são difíceis de explorar” e podem não estar limitadas a um único dispositivo.

A Micodus alega ter mais de 1,5 milhão de rastreadores GPS em uso em mais de 420.000 clientes em todo o mundo, incluindo empresas com frotas de veículos, militares e governos nacionais.

rastreador GPS Micodus

Imagem: reprodução

Entre as vulnerabilidades encontradas, duas são especialmente “graves”. A mais grave envolve uma senha codificada que pode ser usada para obter controle total de qualquer rastreador GPS, acesso à localização em tempo real dos veículos, rotas anteriores e ainda cortar remotamente o suprimento de combustível. Como a senha é incorporada diretamente no código do aplicativo Android, qualquer pessoa pode vasculhar o código e encontrá-lo.

123456

O estudo ainda descobriu que o dispositivo da Micodus vem com a senha padrão “123456”, permitindo que qualquer pessoa acesse os rastreadores GPS que não alteraram a combinação de segurança.

Ainda segundo a BitSight, 95% de uma amostra de 1.000 dispositivos testados estavam acessíveis com a senha padrão inalterada.

rastreador GPS carro

Imagem: Shutterstock

Rastreador GPS popular no Brasil

Os pesquisadores encontraram o rastreador GPS MV720 da Micodus em diferentes partes do mundo, mas a maior concentração de dispositivos está na Rússia, Ucrânia, Uzbequistão e Brasil.

mapa mostra rastreador GPS com falha em todo o mundo

Os pontos vermelhos no mapa indicam os usuários do rastreador GPS da Micodus – Imagem: BitSight

O CEO da BitSight, Stephen Harvey, disse que as vulnerabilidades têm o potencial de resultar em “consequências desastrosas” para os proprietários de veículos afetados.

Tanto a empresa de segurança que descobriu o problema como a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) entraram em contato com a Micodus, que não respondeu ou ofereceu qualquer solução ao problema. O primeiro “aviso” foi feito em setembro de 2021, mas nenhum esforço foi feito para corrigir as vulnerabilidades.

Dada a gravidade do problema, a indicação no momento é para que os proprietários de veículos removam os dispositivos o mais rapidamente possível para mitigar o risco.

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Inscrever-se
Notificar de
0 Comentários
Feedbacks embutidos
Ver todos os comentários