美網絡安全組織就中國製造的一款車輛GPS追踪器的安全隱患發布警告

美國國土安全部。

Your browser doesn’t support HTML5

美網絡安全組織就中國製造的一款車輛GPS追踪器的安全隱患發布警告

美國一家網絡安全公司說,一款在169個國家使用的中國製造的車輛GPS(全球衛星定位系統)定位追踪器存在嚴重的軟件安全漏洞,對公路安全、國家安全和供應鏈構成潛在威脅。美國政府的網絡安全部門也同時發佈公告,就這款GPS設備存在的安全問題發出警告。製造這款設備、總部位於深圳的公司對他們的產品被關注表示意外,並稱他們只是一家商業公司,“不參與任何政治問題。”

波士頓網絡安全公司BitSight星期二(7月19日)發布的報告說,這些缺陷可能會讓襲擊者遠程劫持裝有這些設備的車輛、切斷車輛的燃油供應或控制行駛中的車輛。

研究人員說,在解決方案出來之前,用戶應立即卸載型號為MV720的GPS追踪器。在這份民間公司的網絡安全報告發布的同時,美國國土安全部下屬的網絡安全與基礎設施安全局(CISA)也發佈公告,列出了這款設備的五個安全隱患。

BitSight說,公司從去年9月開始就試圖與設備的製造商、深圳市米可達斯電子科技有限公司(MiCODUS)聯繫,討論如何解決這些安全漏洞,但數月以來都沒有成功。CISA於今年4月介入。

米可達斯公司負責人里奧(Leo)星期三(7月20日)通過Skype對美國之音說,去年是有自稱BitSight的人給他們發郵件說安全漏洞的問題,但是他無法證實對方的身份,加上同行業中沒有人遇到類似的情況,因此一直以為是垃圾郵件,沒有重視。

他說:“如果真的有漏洞,我們會去查漏補缺,會完善這個問題。”

CISA在一份聲明中說,目前還沒有看到這些安全隱患“存在任何被利用的情況”。

GPS追踪器在全球被廣泛用於對各種車輛的定位和追踪——包括卡車、校車和軍用車輛,以防止車輛被盜。除了蒐集車輛的位置數據,這些追踪器通常還會監控駕駛員行為和燃油使用等其他參數。許多設備在安裝後,還能遙控切斷車輛的供油和警報,控制車門的上鎖和開鎖,等等。

BitSight報告的首席作者佩德羅·昂貝里諾(Pedro Umbelino)說,車輛安裝了MV720追踪器的話,惡意使用者可以遠程切斷行駛中車輛的燃油供應,了解車輛的實時位置以便進行監視,或者通過攔截和修改位置或其他數據來蓄意破壞車輛的運行。BitSight說,這款GPS追踪器的售價不到25美元。

昂貝里諾說,可能存在多種惡意情況:急救人員的車輛可能會癱瘓,或者黑客可能會關閉發動機,然後威脅受害人說,如果不想花錢請人來修車,就要支付加密貨幣贖金。

BitSight發現的主要安全隱患是:設備自帶默認密碼,而超過90%的用戶都不會修改密碼;而且還有一個對所有設備都適用的複雜的但是寫死的硬編碼。BitSight的報告還發現用來遠程管理GPS設備的網絡服務器的軟件也存在安全缺陷。

BitSight說,生產商米可達斯聲稱有42萬客戶安裝了150萬個他們的GPS設備,他們研究發現其中包括一家世界50強能源企業、一家航天航空企業、南美和東歐的國家軍方機構、一個核電站操作機構、西歐的一個國家執法部門。報告沒有列出這些機構的名字。報告說,設備用戶最多的國家包括巴西、墨西哥、西班牙和俄羅斯。

米可達斯公司的里奧對美國之音說,他不清楚報告中的這些數據是怎麼來的。他堅持說,MV720這款型號的銷量不超過10萬台,而公司所有產品加在一起也沒有100多萬台。“最最困惑的是為什麼會盯上我們公司的這款產品,這個產品在同行業來講的話,銷量是九牛一毛,甚至都談不上,”他說。

美聯社的報導援引曾經擔任美國總統網絡安全特別顧問的理查德·克拉克(Richard Clarke)的話說,這個不安全的GPS設備是中國製造的智能產品“傳輸數據,並且可以被中國政府惡意利用”的又一個例子。

米可達斯公司負責人里奧說,他們只是一家商業公司,“不參與任何政治問題,到目前為止,沒有任何政府的人或機構強行要我們幹什麼。”

他說,公司歡迎任何客戶或像BitSight這樣的網絡安全公司提出任何意見和反饋任何安全方面的問題,但希望“都是善意的,不是惡意。”

克拉克雖然不覺得這款定位追踪設備是為惡意目的而設計的,但是他認為威脅卻是切實的,因為中國公司根據法律有義務遵守他們政府的命令——這也是為什麼華盛頓一直尋求在美國的電信網絡中最大程度減少使用中國的零部件以及為什麼一些國會議員堅持禁止美國購買中國無人機。

美聯社援引克拉克的話說:“你只會好奇,我們會多少次發現這些基礎設施的東西可能會被中國濫用,而用戶卻毫不知情?”

(本文參考了美聯社的報導。)