GPS tracker: quando il pericolo corre via Web e SMS

I GPS tracker sono strumenti che permettono di localizzare a distanza gli oggetti a cui essi sono collegati. Per tracciare la posizione dei veicoli esistono sul mercato tantissime soluzioni che differiscono molto, l’una rispetto all’altra, in termini di caratteristiche e prezzo.

Di solito, comunque, i GPS tracker sono dispositivi smart che consentono la connessione a distanza utilizzando la rete dati degli operatori di telefonia mobile. Talvolta sono gestibili attraverso un pannello di controllo (dashboard) via Internet, altre volte è possibile dialogare da remoto con i GPS tracker usando i classici SMS.
In ogni caso essi dispongono di uno slot per l’inserimento di una SIM card in modo da poter scambiare dati in ogni situazione utilizzando le celle degli operatori di telecomunicazioni, eventualmente anche in roaming.

Tra i GPS tracker più diffusi su scala mondiale ci sono le soluzioni MiCODUS progettate, realizzate e commercializzate da un’azienda cinese con sede a Shenzhen.

I ricercatori di BitSight hanno scoperto la presenza di alcune vulnerabilità nei GPS tracker MiCODUS MV720 che possono essere sfruttate a distanza da parte di aggressori e criminali informatici.

I rischi sono notevoli perché un malintenzionato può sfruttare le falle di sicurezza per tracciare i veicoli altrui, stabilire dove si trovano e seguire i loro spostamenti, modificare i dati in transito e addirittura immobilizzarli.

Gli esperti di BitSight si sono accorti che la master password utilizzata per sovrintendere il funzionamento della piattaforma cui si appoggiano i dispositivi MiCODUS MV720 è “hardcoded” nelle API lato server. Un aggressore remoto non autenticato può sfruttare questa grave leggerezza per disattivare gli avvisi, tracciare gli utenti e disporre lo spegnimento del veicolo con tutto ciò che ne consegue.

L’utilizzo di uno schema di autenticazione che presenta bug di sicurezza, inoltre, può consentire ad utenti non autorizzati l’invio di comandi via SMS che vengono gestiti ed eseguiti da MiCODUS MV720 con i privilegi amministrativi.

Altre falle individuate da BitSight hanno a che fare con l’utilizzo di password di default deboli (senza che siano mostrate esortazioni a modificarle), vulnerabilità XSS (cross-site scripting), possibilità di accedere ai Device ID altrui interrogando il server Web e altro ancora.

BitSight spiega che i dispositivi MiCODUS MV720 sono utilizzatissimi su scala planetaria: costano poco (20 euro o meno) e, tra i tanti soggetti che se ne servono, ci sono organizzazioni militari, agenzie governative, enti pubblici e gestori di impianti nucleari.
Anche l’agenzia dei trasporti ucraina, sotto il diretto controllo dello Stato, utilizzerebbe i GPS tracker MiCODUS MV720 per monitorare ogni veicolo.

I tecnici di BitSight, che hanno sviluppato anche il codice Proof-of-Concept (PoC) al fine di mostrare come potrebbero essere sfruttate le vulnerabilità di sicurezza, aggiungono che le falle in questione sono state segnalate all’azienda produttrice a inizio settembre 2021.
Non avendo ottenuto la collaborazione della società, BitSight ha segnalato le criticità ai responsabili del Dipartimento della sicurezza interna degli Stati Uniti d’America (DHS) a metà gennaio 2022.

Al momento della stesura del nostro articolo il localizzatore GPS MiCODUS MV720 resta quindi vulnerabile e il produttore non ha reso disponibili le patch correttive. BitSight raccomanda agli utenti di valutare la dismissione dei dispositivi in questione, almeno fino al momento del rilascio degli aggiornamenti di sicurezza correttivi. Continuare a usarli rappresenta infatti un rischio per la sicurezza, soprattutto dopo la pubblicazione dei PoC.