ቁልፍ መውሰጃዎች
- ተመራማሪዎች በሚሊዮኖች ለሚቆጠሩ ተሽከርካሪዎች ጥቅም ላይ በሚውለው ታዋቂ የጂፒኤስ መከታተያ ውስጥ ወሳኝ ተጋላጭነቶችን አግኝተዋል።
- አምራች ከተመራማሪዎቹ እና ከሳይበር ደህንነት እና መሠረተ ልማት ደህንነት ኤጀንሲ (ሲአይኤስኤ) ጋር እንኳን መስራት ባለመቻሉ ትልቹ አልተለጠፉም።
- ይህ የአጠቃላይ የስማርት መሳሪያ ስነ-ምህዳር ስር ያለ ጉዳይ አካላዊ መገለጫ ነው፣የደህንነት ባለሙያዎችን ይጠቁሙ።
የደህንነት ተመራማሪዎች በዓለም ዙሪያ ከአንድ ሚሊዮን በላይ በሚሆኑ ተሽከርካሪዎች ውስጥ ጥቅም ላይ በሚውል ታዋቂ የጂፒኤስ መከታተያ ላይ ከባድ ተጋላጭነቶችን አግኝተዋል።
እንደ ተመራማሪዎቹ ከደህንነት አቅራቢው BitSight ጋር ከተበዘበዙ በMiCODUS MV720 ተሽከርካሪ ጂፒኤስ መከታተያ ውስጥ ያሉት ስድስት ተጋላጭነቶች ተሽከርካሪውን መከታተል ወይም ነዳጁን መቁረጥን ጨምሮ አስጊ ተዋናዮች የመሳሪያውን ተግባራት እንዲቆጣጠሩ ያስችላቸዋል። አቅርቦት. የደህንነት ባለሙያዎች በአጠቃላይ በስማርት እና በይነመረብ የነቁ መሳሪያዎች ላይ ስላለው የላላ ደህንነት ስጋት ቢገልጹም፣ የBitSight ጥናት በተለይ ለግላዊነት እና ደህንነት ለሁለቱም አሳሳቢ ነው።
“እንደ አለመታደል ሆኖ እነዚህ ተጋላጭነቶች ለመበዝበዝ አስቸጋሪ አይደሉም” ሲሉ የ BitSight ዋና የጥበቃ ተመራማሪ ፔድሮ ኡምቤሊኖ በጋዜጣዊ መግለጫው ላይ ተናግረዋል። "በዚህ አቅራቢ አጠቃላይ የሥርዓት አርክቴክቸር ውስጥ ያሉ መሠረታዊ ጉድለቶች ስለሌሎች ሞዴሎች ተጋላጭነት ጉልህ ጥያቄዎችን ያስነሳሉ።"
የርቀት መቆጣጠሪያ
በሪፖርቱ ውስጥ BitSight በ MV720 ጸረ-ስርቆት፣ ነዳጅ መቆራረጥ፣ የርቀት መቆጣጠሪያ እና የጂኦፌንሲንግ አቅምን የሚያቀርብ የኩባንያው በጣም ውድ ሞዴል በመሆኑ ዜሮ እንደገባ ተናግሯል።ሴሉላር የነቃለት መከታተያ የሁኔታውን እና የአካባቢ ዝመናዎችን ወደ ደጋፊ አገልጋዮች ለማስተላለፍ ሲም ካርድ ይጠቀማል እና ከህጋዊ ባለቤቶቹ በኤስኤምኤስ ትዕዛዝ ለመቀበል የተነደፈ ነው።
BitSight ያለ ብዙ ጥረት ተጋላጭነቶቹን እንዳገኘ ተናግሯል። ተጋላጭነቶችን በዱር ውስጥ በመጥፎ ተዋናዮች ሊጠቀሙበት እንደሚችሉ ለማሳየት ለአምስቱ ጉድለቶች የፅንሰ-ሀሳብ ማረጋገጫ (PoCs) ኮድ አዘጋጅቷል።
እና ሊጎዱ የሚችሉት ግለሰቦች ብቻ አይደሉም። ተቆጣጣሪዎቹ በኩባንያዎች እንዲሁም በመንግስት፣ በወታደራዊ እና በህግ አስከባሪ ኤጀንሲዎች ዘንድ ተወዳጅ ናቸው። ይህም ተመራማሪዎቹ ሼንዘን ከሚባለው ቻይናዊ አምራች እና የአውቶሞቲቭ ኤሌክትሮኒክስ እና መለዋወጫዎች አቅራቢዎች አዎንታዊ ምላሽ ባለማግኘታቸው ምክንያት ጥናታቸውን ለሲአይኤ እንዲያካፍሉ አድርጓቸዋል።
CISA እንዲሁም ከMiCODUS ምላሽ ካላገኘ በኋላ ኤጀንሲው ትኋኖችን ወደ የጋራ ተጋላጭነቶች እና ተጋላጭነቶች (CVE) ዝርዝር ለማከል እራሱን ወስዶ የጋራ የተጋላጭነት ውጤት ስርዓት (CVSS) ነጥብ መድቧል። ከነሱ ጥንዶች ጋር 9 ወሳኝ የክብደት ነጥብ አግኝተዋል።8 ከ 10.
የእነዚህን ተጋላጭነቶች ብዝበዛ ብዙ የጥቃት ሁኔታዎችን ይፈቅዳል፣ይህም “አሳዛኝ አልፎ ተርፎም ለሕይወት አስጊ የሆነ አንድምታ ሊኖረው ይችላል” ሲል በሪፖርቱ ውስጥ ያሉትን ተመራማሪዎች ልብ ይበሉ።
ርካሽ ትሪልስ
በቀላሉ ሊበዘበዝ የሚችል የጂፒኤስ መከታተያ አሁን ባለው የኢንተርኔት ኦፍ የነገሮች (አይኦቲ) መሳሪያዎች ላይ ብዙዎቹን ስጋቶች አጉልቶ ያሳያል ሲሉ ተመራማሪዎቹ አስተውለዋል።
Roger Grimes፣ Grimes ለ Lifewire በኢሜይል ተናግሯል። "የእርስዎን ውይይቶች ለመመዝገብ የሞባይል ስልክዎ ሊበላሽ ይችላል. እርስዎን እና ስብሰባዎችን ለመቅዳት የላፕቶፕዎ ዌብ ካሜራ ሊበራ ይችላል። እና የመኪናዎ የጂፒኤስ መከታተያ መሳሪያ የተወሰኑ ሰራተኞችን ለማግኘት እና ተሽከርካሪዎችን ለማሰናከል ሊያገለግል ይችላል።"
ተመራማሪዎቹ በአሁኑ ጊዜ የMiCODUS MV720 ጂፒኤስ መከታተያ ሻጩ መፍትሄ ስላላቀረበ ለተጠቀሱት ጉድለቶች የተጋለጠ መሆኑን አስታውቀዋል። በዚህ ምክንያት፣ BitSight ማንኛውም ሰው ይህን የጂፒኤስ መከታተያ የሚጠቀም ማስተካከያ እስኪገኝ ድረስ እንዲያሰናክለው ይመክራል።
በዚህ ላይ መገንባቱ ግሪምስ መለጠፍ ሌላ ችግር እንደሚፈጥር ያብራራል፣ ምክንያቱም በተለይ በአይኦቲ መሳሪያዎች ላይ የሶፍትዌር ጥገናዎችን መጫን ከባድ ነው። “መደበኛ ሶፍትዌሮችን ማስተካከል ከባድ ነው ብለው ካሰቡ አይኦቲ መሳሪያዎችን መጠገን አስር እጥፍ ከባድ ነው” ሲል ግሪምስ ተናግሯል።
በአመቺ አለም ሁሉም የአይኦቲ መሳሪያዎች ማናቸውንም ማሻሻያዎችን በራስ ሰር ለመጫን በራስ ሰር መጠገኛ ይኖራቸዋል። ግን በሚያሳዝን ሁኔታ፣ Grimes አብዛኞቹ የአይኦቲ መሳሪያዎች ሰዎች እራስዎ እንዲያዘምኗቸው ይጠይቃሉ፣ እንደ የማይመች አካላዊ ግኑኝነትን በመሳሰሉ ሁሉም አይነት ሁነቶች ውስጥ እየዘለሉ።
"90% የሚሆኑት ተጋላጭ የጂፒኤስ መከታተያ መሳሪያዎች ሻጩ በትክክል ለማስተካከል ከወሰነ እና ሲጠቀምባቸው ለጥቃት የተጋለጡ እና ጥቅም ላይ እንደሚውሉ እገምታለሁ። ከእነዚህ ታሪኮች ውስጥ ምንም ያህል ቢወጡ ወደ ፊት ይቀይሩ።"
