国产GPS定位器很弱

美国国土安全部总部于 2015 年 2 月 25 日在华盛顿西北部拍摄。

美联社照片/Manuel Balce Ceneta，档案

波士顿（美联社）- 网络安全研究人员发现，在 169 个国家/地区使用的中国制造的 GPS 汽车追踪器存在严重的软件漏洞，对高速公路安全、国家安全和供应链构成潜在风险。

波士顿网络安全报告 BitSight 表示，这些缺陷可能允许攻击者远程劫持配备设备的车辆，切断燃料并在车辆行驶时夺取控制权。

研究人员表示，用户应立即禁用 MV720 GPS 跟踪器，直到有可用的修复程序。 该报告于周二发布 它与美国网络安全和基础设施安全局的一份咨询报告不谋而合，该报告列出了五个漏洞。

BitSight 表示，它已经尝试了几个月——从 9 月开始，CISA 于 4 月下旬加入——与总部位于深圳的制造商 MiCODUS 讨论解决漏洞问题，但均未成功。 美联社给该公司打电话和发电子邮件，但没有收到任何回复。 接听他们网站上列出的电话号码的人无法用英语回复。

CISA 在一份声明中表示，它不知道对这些漏洞的“任何积极利用”。

GPS追踪器在全球范围内用于监控车队——从卡车到校车再到军用车辆——并保护它们免遭盗窃。 除了收集有关车辆位置的数据外，他们通常还会监控其他指标，例如驾驶员行为和燃料使用情况。 通过远程访问，各种电线连接到车辆的燃油切断、警报、锁定或解锁等。

使用 MV720， BitSight 表示，每单位成本不到 25 美元，恶意用户可以远程切断移动车辆的燃油管路，查看车辆的实时位置以进行间谍活动，拦截和破坏站点或其他数据以进行破坏，BitSight 的首席研究员该项目说，Pedro Umbelino。

他说有几种恶意情况是可能的：急救车辆可能发生故障，或者黑客可能关闭引擎并要求受害者支付加密货币赎金以避免呼叫机械师。

主要弱点：BitSight 发现，该设备带有一个默认密码，超过 90% 的用户不会更改该密码，还有第二个密码，晦涩难懂但静态加密，适用于所有设备。 它还在用于远程管理 GPS 设备的 Web 服务器软件中发现了漏洞。

BitSight 表示，制造商 MiCODUS 声称在 420,000 名客户中拥有 150 万台设备的安装基础。 她的研究发现，他们涉及一家财富 50 强能源和航空公司、南美和东欧的国家军队、核电站运营商以及西欧的国家执法机构。 他们都没有被提及。 各大洲用户最多的国家：巴西、墨西哥、西班牙和俄罗斯。

美国前网络安全沙皇理查德克拉克将这种不安全的 GPS 设备描述为中国制造的智能产品的另一个例子，该产品“给家庭打电话，并可能被中国政府恶意使用”。

虽然克拉克表示他怀疑追踪器是为此目的而设计的，但风险是真实存在的，因为中国公司依法有义务遵守政府的命令——这就是为什么华盛顿正在寻求减少美国电信网络中的中国组件以及为什么国会中的一些人呼吁禁止政府采购中国无人机的美国人。

“你只是想知道，我们多久会发现这些作为基础设施的东西——有可能被中国滥用——而用户却不知道？” 克拉克说。