来源:
美国之音
美国一家网络安全公司说,一款在169个国家使用的中国制造的车辆GPS(全球卫星定位系统)定位追踪器存在严重的软件安全漏洞,对公路安全、国家安全和供应链构成潜在威胁。美国政府的网络安全部门也同时发布公告,就这款GPS设备存在的安全问题发出警告。制造这款设备、总部位于深圳的公司对他们的产品被关注表示意外,并称他们只是一家商业公司,“不参与任何政治问题。”
波士顿网络安全公司BitSight星期二(7月19日)发布的报告说,这些缺陷可能会让袭击者远程劫持装有这些设备的车辆、切断车辆的燃油供应或控制行驶中的车辆。
研究人员说,在解决方案出来之前,用户应立即卸载型号为MV720的GPS追踪器。在这份民间公司的网络安全报告发布的同时,美国国土安全部下属的网络安全与基础设施安全局(CISA)也发布公告,列出了这款设备的五个安全隐患。
BitSight说,公司从去年9月开始就试图与设备的制造商、深圳市米可达斯电子科技有限公司(MiCODUS)联系,讨论如何解决这些安全漏洞,但数月以来都没有成功。CISA于今年4月介入。
米可达斯公司负责人里奥(Leo)星期三(7月20日)通过Skype对美国之音说,去年是有自称BitSight的人给他们发邮件说安全漏洞的问题,但是他无法证实对方的身份,加上同行业中没有人遇到类似的情况,因此一直以为是垃圾邮件,没有重视。
他说:“如果真的有漏洞,我们会去查漏补缺,会完善这个问题。”
CISA在一份声明中说,目前还没有看到这些安全隐患“存在任何被利用的情况”。
GPS追踪器在全球被广泛用于对各种车辆的定位和追踪——包括卡车、校车和军用车辆,以防止车辆被盗。除了搜集车辆的位置数据,这些追踪器通常还会监控驾驶员行为和燃油使用等其他参数。许多设备在安装后,还能遥控切断车辆的供油和警报,控制车门的上锁和开锁,等等。
BitSight报告的首席作者佩德罗·昂贝里诺(Pedro Umbelino)说,车辆安装了MV720追踪器的话,恶意使用者可以远程切断行驶中车辆的燃油供应,了解车辆的实时位置以便进行监视,或者通过拦截和修改位置或其他数据来蓄意破坏车辆的运行。BitSight说,这款GPS追踪器的售价不到25美元。
昂贝里诺说,可能存在多种恶意情况:急救人员的车辆可能会瘫痪,或者黑客可能会关闭发动机,然后威胁受害人说,如果不想花钱请人来修车,就要支付加密货币赎金。
BitSight发现的主要安全隐患是:设备自带默认密码,而超过90%的用户都不会修改密码;而且还有一个对所有设备都适用的复杂的但是写死的硬编码。BitSight的报告还发现用来远程管理GPS设备的网络服务器的软件也存在安全缺陷。
BitSight说,生产商米可达斯声称有42万客户安装了150万个他们的GPS设备,他们研究发现其中包括一家世界50强能源企业、一家航天航空企业、南美和东欧的国家军方机构、一个核电站操作机构、西欧的一个国家执法部门。报告没有列出这些机构的名字。报告说,设备用户最多的国家包括巴西、墨西哥、西班牙和俄罗斯。
米可达斯公司的里奥对美国之音说,他不清楚报告中的这些数据是怎么来的。他坚持说,MV720这款型号的销量不超过10万台,而公司所有产品加在一起也没有100多万台。“最最困惑的是为什么会盯上我们公司的这款产品,这个产品在同行业来讲的话,销量是九牛一毛,甚至都谈不上,”他说。
美联社的报道援引曾经担任美国总统网络安全特别顾问的理查德·克拉克(Richard Clarke)的话说,这个不安全的GPS设备是中国制造的智能产品“传输数据,并且可以被中国政府恶意利用”的又一个例子。
米可达斯公司负责人里奥说,他们只是一家商业公司,“不参与任何政治问题,到目前为止,没有任何政府的人或机构强行要我们干什么。”
他说,公司欢迎任何客户或像BitSight这样的网络安全公司提出任何意见和反馈任何安全方面的问题,但希望“都是善意的,不是恶意。”
克拉克虽然不觉得这款定位追踪设备是为恶意目的而设计的,但是他认为威胁却是切实的,因为中国公司根据法律有义务遵守他们政府的命令——这也是为什么华盛顿一直寻求在美国的电信网络中最大程度减少使用中国的零部件以及为什么一些国会议员坚持禁止美国购买中国无人机。
美联社援引克拉克的话说:“你只会好奇,我们会多少次发现这些基础设施的东西可能会被中国滥用,而用户却毫不知情?”
from 博谈网 https://botanwang.com/articles/202207/%E7%BE%8E%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E7%BB%84%E7%BB%87%E5%B0%B1%E4%B8%AD%E5%9B%BD%E5%88%B6%E9%80%A0%E7%9A%84%E4%B8%80%E6%AC%BE%E8%BD%A6%E8%BE%86gps%E8%BF%BD%E8%B8%AA%E5%99%A8%E7%9A%84%E5%AE%89%E5%85%A8%E9%9A%90%E6%82%A3%E5%8F%91%E5%B8%83%E8%AD%A6%E5%91%8A.html