【大纪元2022年07月20日讯】(大纪元记者徐简综合报导)最新网络安全研究报告发现,中国深圳厂商制造的一款汽车GPS追踪装置存在严重漏洞,可能会危及169个国家的个人、政府机构和公司,对生命、国家安全和供应链构成潜在危险。
“MV720”系统存在重大漏洞
根据周二(7月19日)波士顿网络安全公司BitSight的一份报告,这款在全球广泛使用的汽车全球定位(GPS)装置产自深圳厂商MiCODUS,型号为“MV720”,该系统的严重漏洞可能让攻击者远程劫持车辆、切断车辆的燃料,并在车辆行驶时夺取控制权。
研究人员表示,用户应立即禁用MV720 GPS跟踪器,直至制造商修补漏洞为止。
BitSight自去年9月起,美国联邦网络安全和基础设施安全局(CISA)也在今年4月介入,尝试与制造商、总部位于深圳的MiCODUS进行讨论以解决这些漏洞,但均未成功。
CISA也发表报告认为“MV720”定位装置存在5大漏洞,CISA在声明中表示,暂未发现大规模黑客利用这些漏洞。
波及多国个人和重要部门
BitSight说,每台MV720的成本不到25美元,MiCODUS声称在42万名客户中安装了150万台设备,其中包括一家财富50强能源公司和一家航空航天公司、南美和东欧的一些国家军队、核电站运营商和西欧的国家执法机构。用户最多的国家包括:巴西、墨西哥、西班牙和俄罗斯。
GPS追踪器在全球范围内用于监控车队——从卡车、校车再到军用车辆——并防止它们被盗。除了收集车辆位置数据外,它们还可以监控其它指标,例如驾驶员行为和燃料使用情况。许多人可以通过远程访问来切断车辆的燃料、警报、锁定或解锁车门等等。
BitSight首席研究员乌姆贝利诺(Pedro Umbelino)表示,黑客可以利用“MV720”的软件漏洞,远程切断车辆的燃油管路;掌握车辆的实时位置来进行间谍活动;或者监控、截取车辆的多方面信息,必要的话甚至可以挟持车辆。
他提到多种恶意情况:例如急救人员的车辆可能会瘫痪,或者黑客可能会关闭引擎,要求受害者支付加密货币赎金。
BitSight发现,“MV720”出厂时附带一个默认密码,但超过90%的用户不会更改该密码,因此容易被黑客趁虚而入,该系统还有第一个“万用密码”,适用于所有设备。此外远程管理GPS设备的网络服务器软件也有安全漏洞。
美国安全顾问:或是中共蓄意而为
美国前网络安全顾问理查德‧克拉克(Richard Clarke)表示,这种不安全的GPS设备恐怕是中共蓄意而为,“它正在打电话回家,(信息)可能被中国(中共)政府恶意使用”。
美联社报导,克拉克的担心是真实存在的,因为中国公司都要遵守“党”的命令,所以美国政府一直在寻求尽量减少美国电信网络中的中国组件,国会议员也在推动禁止美国政府购买中国产无人机。
“你只是想知道,我们多久才会发现这些被中国(中共)滥用的基础设施——而用户却不知道?”克拉克说。
责任编辑:林妍#
