Gefährliche Sicherheitslücken in GPS-Trackern
2022-07-27
Normalerweise sind Sicherheitsmechanismen wie Wegfahrsperren in Automobilen so ausgelegt, dass ein einmal gestartetes Fahrzeug nicht mehr lahmgelegt wird, damit es nicht als Verkehrshindernis liegenbleibt und Unfälle verursachen kann. Leider scheint dies für einige GPS-Tracker nicht zu gelten, mit denen der Standort von Fahrzeugen einer Fahrzeugflotte abgerufen und gestohlende Fahrzeuge ggf. auch stillgelegt werden können: Infolge von Sicherheitslücken ist hier das Abschalten durch Dritte sogar mitten in der Fahrt möglich.
Eine Handvoll Schwachstellen, einige davon kritisch, in MiCODUS-GPS-Tracker-Geräten könnten es Kriminellen ermöglichen, den Fuhrparkbetrieb zu stören und Routen auszuspionieren oder sogar Fahrzeuge fernzusteuern oder ihnen den Kraftstoff abzudrehen.
"Eine erfolgreiche Ausnutzung dieser Schwachstellen könnte einem Angreifer die Kontrolle über jeden MV720 GPS-Tracker ermöglichen und ihm Zugang zu Standort, Routen, Befehlen zum Abschalten des Treibstoffs und zum Entschärfen verschiedener Funktionen (z. B. Alarme) gewähren", warnt die US-Regierungsbehörde CISA. Der chinesische Gerätehersteller habe noch keine Updates oder Patches zur Behebung der Schwachstellen bereitgestellt, so die CISA weiter.
Um das Risiko zu verringern, sollen daher diese GPS-Tracker nach Möglichkeit nicht über das Internet oder Netzwerke zugänglich sein, auf die Kriminelle zugreifen können oder ein VPN verwendet werden. Das sind sicherheitstechnische Allgemeinplätze; wirklich hilfreich ist nur, diese Geräte aktuell gar nicht zu verwenden - was bei europaweit verkehrenden Fahrzeugen gar nicht so leicht zeitnah umzusetzen ist.
Die Bitsight-Sicherheitsforscher Pedro Umbelino, Dan Dahlberg und Jacob Olcott entdeckten die sechs Schwachstellen und meldeten sie nun der CISA, nachdem sie seit September 2021 versucht hatten, die Erkenntnisse beim Hersteller MiCODUS zu melden.
"Nachdem alle Möglichkeiten, MiCODUS zu erreichen, vernünftigerweise ausgeschöpft wurden, kamen BitSight und CISA zu dem Schluss, dass diese Schwachstellen eine öffentliche Bekanntgabe rechtfertigen", heißt es im BitSight-Bericht [PDF].
Etwa 1,5 Millionen Verbraucher und Organisationen nutzen die GPS-Tracker, so die Forscher. Diese Zahl erstreckt sich über 169 Länder und umfasst Regierungsbehörden, Militär, Strafverfolgungsbehörden, Luft- und Raumfahrt-, Energie-, Maschinenbau-, Produktions- und Schifffahrtsunternehmen, fügten sie hinzu.
"Die Ausnutzung dieser Schwachstellen könnte katastrophale und sogar lebensbedrohliche Auswirkungen haben", so die Autoren des Berichts:
Ein Angreifer könnte beispielsweise einige der Schwachstellen ausnutzen, um einer ganzen Flotte von Nutz- oder Einsatzfahrzeugen den Treibstoff zu entziehen. Oder der Angreifer könnte GPS-Informationen ausnutzen, um Fahrzeuge auf gefährlichen Autobahnen zu überwachen und abrupt zu stoppen. Die Angreifer könnten Personen heimlich verfolgen oder Lösegeldzahlungen für die Wiederherstellung der Betriebsbereitschaft von Fahrzeugen verlangen. Es gibt viele mögliche Szenarien, die zum Verlust von Menschenleben, zu Sachschäden, zum Eindringen in die Privatsphäre und zur Bedrohung der nationalen Sicherheit führen können.
Für seine Untersuchungen verwendete das BitSight-Team das Modell MV720, das nach eigenen Angaben das preisgünstigste Design des Unternehmens mit Kraftstoffabschaltfunktion ist. Das Gerät ist ein mobilfunkfähiger Tracker, der eine SIM-Karte verwendet, um Status- und Standortaktualisierungen an unterstützende Server zu übertragen und SMS-Befehle zu empfangen.
Dl2MCD