Lỗi bảo mật trên thiết bị GPS khiến hàng triệu các phương tiện quân sự bị tiết lộ vị trí

Có 6 lỗ hổng được phát hiện trong MV720 - một thiết bị GPS có dây cứng được phát triển bởi MiCODUS - nhà sản xuất thiết bị điện tử của Trung Quốc. Đây là phát hiện của các nhà nghiên cứu bảo mật của công ty an ninh mạng BitSight có trụ sở tại Boston - Mỹ.

BitSight khẳng định, hiện có khoảng 1,5 triệu thiết bị GPS của MiCODUS đang được sử dụng bởi hơn 420.000 khách hàng trên toàn thế giới. Khách hàng của MiCODUS gồm cả các công ty vận tải, quân đội, cơ quan thực thi pháp luật, chính phủ quốc gia và còn có cả một nhà máy điện hạt nhân.

BitSight nhấn mạnh rằng các lỗ hổng bảo mật này có thể được khai thác từ xa. Từ đó, kẻ xấu có thể dễ dàng truy cập lịch sử di chuyển, theo dõi bất kỳ phương tiện nào trong thời gian thực hay thậm chí có thể ngắt động cơ của các phương tiện đang di chuyển. Chúng có khả năng gây ra "hậu quả tai hại" cho các chủ phương tiện bị theo dõi.

Sáu lỗ hổng bảo mật này nằm trong chính trình GPS hoặc nằm trong bảng điều khiển web mà khách hàng sử dụng để theo dõi phương tiện của họ. Tất cả đều xếp ở mức độ nghiêm trọng "cao" hoặc "rất cao".

Trong đó, lỗ hổng nghiêm trọng nhất là một mật khẩu được mã hóa cứng có thể được sử dụng để kiểm soát hoàn toàn bất kỳ thiết bị theo dõi GPS nào, được nhúng trực tiếp vào mã của ứng dụng Android. Vì vậy, việc tìm ra mật khẩu quan trọng này không khó.

Nghiên cứu của BitSight còn chỉ ra rằng mật khẩu mặc định của GPS là "123456", cho phép bất kỳ ai cũng có thể truy cập vào hệ thống mà không thay đổi mật khẩu thiết bị. 95% mẫu trong số 1.000 thiết bị mà BitSight thử nghiệm có thể dùng mật khẩu mặc định không thay đổi để truy cập, có thể là do khách hàng của hãng không được nhắc thay đổi mật khẩu khi thiết lập.

BitSight nhấn mạnh các thiết bị GPS của MiCODUS trên khắp thế giới đang bị tấn công, đặc biệt là ở Ukraine, Nga, Uzbekistan và Brazil, Tây Ban Nha, Ba Lan, Đức…

Vào tháng 9 năm ngoái, BitSight đã liên hệ lần đầu với MiCODUS nhưng không nhận được bất kỳ phản hồi nào của hãng cũng như không có nỗ lực nào được thực hiện để khắc phục các lỗ hổng.

Do mức độ nghiêm trọng của các lỗi và hiện chưa có cách khắc phục nên BitSight và Cơ quan tư vấn an ninh mạng của chính phủ Mỹ (CISA), đã cảnh báo các chủ phương tiện nên gỡ bỏ thiết bị "càng sớm càng tốt để giảm thiểu rủi ro".