شش آسیبپذیری یافت شده در یک ردیاب جیپیاس محبوب میتواند به بازیگران بد دسترسی کامل به سیستمهای وسایل نقلیه بدهد.
یک ردیاب جیپیاس که به مشتریان در 169 کشور فروخته شده و در بیش از 1.5 میلیون دستگاه نصب شده است، دارای آسیبپذیریهای امنیتی سایبری متعددی است که میتواند به بازیگران بد اجازه دهد تا از راه دور سیستم خودرو را هک کنند.
این مسائل حیاتی امنیت سایبری در دستگاه ردیابی GPS MiCODUS MV720 برای اولین بار توسط استارتاپ امنیت سایبری BitSight کشف شد. پس از کشف این آسیبپذیریها، BitSight به آژانس امنیت سایبری و امنیت زیرساخت وزارت امنیت داخلی ایالات متحده (CISA) اطلاع داد. CISA تأیید کرد که «استفاده موفقیتآمیز از این آسیبپذیریها میتواند به مهاجم اجازه کنترل هر ردیاب GPS MV720 را بدهد و امکان دسترسی به مکان، مسیرها، دستورات قطع سوخت و خلع سلاح ویژگیهای مختلف (مانند زنگ هشدار) را فراهم کند».
BitSight در گزارشی درباره این آسیبپذیریها اعلام کرد که دریافته است که دستگاههای MiCODUS توسط طیف وسیعی از سازمانها از جمله «یک شرکت انرژی فورچون 50، یک ارتش ملی در آمریکای جنوبی، یک دولت ملی و یک سازمان ملی مجری قانون در اروپای غربی» استفاده میشوند. و یک اپراتور نیروگاه هسته ای». همچنین مشخص شد که MiCODUS دارای 420000 مشتری جهانی با فروش 1.5 میلیون دستگاه است. با این حال، BitSight اشاره کرد که قادر به تعیین تعداد واحدهای MiCODUS MV720 که در حال حاضر در سطح جهانی استفاده میشوند، و همچنین تعداد دستگاههای MiCODUS که برای مصارف شخصی یا تجاری استفاده میشوند، نیست.
CISA گزارش داد که MiCODUS هنوز تلاشی برای کاهش آسیبپذیریها یا ارائه بهروزرسانی برای دستگاه های ردیاب نکرده است، علیرغم اینکه درباره شدت این مشکلات هشدار داده شده است.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده اقدامات دفاعی زیر را برای به حداقل رساندن خطر بهره برداری از آسیب پذیری ها توصیه می کند:
اطمینان حاصل کنید که همه دستگاهها و سیستمهای سیستم کنترل از طریق اینترنت قابل دسترسی نیستند و از قرار گرفتن در معرض شبکه آنها را به حداقل برسانید.
شبکه های سیستم کنترل و دستگاه های از راه دور را در پشت فایروال قرار دهید و آنها را از شبکه های تجاری جدا کنید.
در صورت نیاز به دسترسی از راه دور، از اقدامات امنیتی پیشرفته، به عنوان مثال شبکه های خصوصی مجازی (VPN) استفاده کنید. با این حال، باید به رسمیت شناخته شود که VPN ها نیز ممکن است دارای آسیب پذیری باشند و فقط به اندازه دستگاه های متصل خود،ایمن هستند.