Popular GPS para carros tem brechas que podem ser exploradas em cibeataques

O MiCODUS MV720, um rastreador GPS e bloqueador veicular bastante popular, apresentou uma série de vulnerabilidades que podem permitir a invasão e rastreamento por cibercriminosos. Estima-se que hajam mais de 1,5 milhão de dispositivos ativos em 169 países, incluindo o Brasil.

• Como escolher quais apps podem acessar o GPS do celular
• Waze ou Google Maps: qual o melhor app para GPS?

De acordo com a consultoria de segurança cibernética BitSight, a pesquisa que fez a descoberta foi focada em vulnerabilidades no modelo MV270, no entanto, é possível que as mesmas falhas estejam presentes em outros modelos da MiCODUS, uma fabricante chinesa de rastreadores automotivos.

Entre os usuários do rastreador GPS estão órgãos governamentais, como uma agência militar aqui na América do Sul, carros oficiais de governos na Europa e de agências estaduais dos Estados Unidos. O equipamento também é usado por entes privados de setores sensíveis, como energia, petróleo e gás.

Para que esse GPS serve

Os GPS MiCODUS MV270 são instalados por esses órgãos para monitoramento e controle remoto de localização e velocidade dos veículos. O dispositivo também permite a análise de rotas e o corte do fornecimento de combustível. Os administradores acessam um painel ou enviam comandos por SMS para controle dos dispositivos.

O GPS MiCODUS MV270 se tornou particularmente popular por conta de seu baixo preço. No Brasil, por exemplo, o equipamento pode ser encontrado por cerca de R$ 180, e pode ser usado por qualquer pessoa ou dono de frotas de veículos.

Quais são as falhas do GPS

Entre as vulnerabilidades presentes no GPS, estão falhas que permitem que um invasor tome o controle do dashboard do equipamento, descobrindo rotas, tendo acesso a dados sensíveis e podendo até interromper o fornecimento de combustível de um ou mais veículos, parando-os em locais públicos e podendo causar acidentes.

O relatório preliminar da consultoria foi divulgado em setembro do ano passado e enviado à MiCODUS, que não respondeu sobre os erros. Um novo contato foi realizado cerca de um mês depois, mas foi igualmente ignorado.

Por fim, a BitSight pediu para que a Agência de Segurança Cibernética e Segurança de Infraestrutura (CISA) do Departamento de Segurança Interna dos EUA entrasse em contato com a empresa, mas mesmo assim os erros não foram corrigidos. Com esse cenário, a recomendação é para que os donos desse modelo de rastreador GPS desativem o aparelho e considerem a troca para modelos que não apresentem tais falhas.

Fonte: Bleeping Computer