20/07/2022 17:27

GPS xuất xứ Trung Quốc lỗi bảo mật, các phương tiện quân sự bị tiết lộ vị trí

(NLĐO) - Các lỗ hổng bảo mật trong hệ thống định vị toàn cầu (GPS) đã và đang khiến hàng triệu phương tiện cả quân sự lẫn dân sự bị lộ vị trí.

Thông tin trên được chuyên trang công nghệ Tech Crunch dẫn kết quả nghiên cứu mới của công ty an ninh mạng BitSight có trụ sở tại Boston - Mỹ.

BitSight khẳng định họ đã phát hiện 6 lỗ hổng trong MV720 - một thiết bị GPS có dây cứng được phát triển bởi MiCODUS - nhà sản xuất thiết bị điện tử có trụ sở tại Thâm Quyến của Trung Quốc.

"Hiện có khoảng 1,5 triệu thiết bị GPS của MiCODUS đang được hơn 420.000 khách hàng trên toàn thế giới sử dụng, bao gồm cả các công ty vận tải, cơ quan thực thi pháp luật, quân đội, chính phủ quốc gia và thậm chí cả một nhà máy điện hạt nhân" - BitSight quả quyết.

Các lỗ hổng bảo mật này có thể được khai thác từ xa và dễ dàng để theo dõi bất kỳ phương tiện nào trong thời gian thực, truy cập lịch sử di chuyển. Nguy hiểm hơn nữa, nó có thể ngắt động cơ của các phương tiện đang di chuyển. "Hoàn toàn không khó để khai thác các lỗ hổng bảo mật đó" - chuyên gia Pedro Umbelino, tác giả chính của nghiên cứu tại BitSight, nhấn mạnh.

Do mức độ nghiêm trọng của các lỗi và không có cách khắc phục. Do đó, cả BitSight và Cơ quan tư vấn an ninh mạng của chính phủ Mỹ (CISA), đều đưa ra cảnh báo các chủ phương tiện nên gỡ bỏ thiết bị "càng sớm càng tốt để giảm thiểu rủi ro".

Sáu lỗ hổng bảo mật khác nhau về mức độ nghiêm trọng và khả năng khai thác nhưng tất cả đều xếp ở mức độ nghiêm trọng "cao" hoặc "rất cao". Một số lỗi nằm trong chính trình GPS, trong khi những lỗi khác nằm trong bảng điều khiển web mà khách hàng sử dụng để theo dõi phương tiện của họ.

Lỗ hổng nghiêm trọng nhất là một mật khẩu được mã hóa cứng có thể được sử dụng để kiểm soát hoàn toàn bất kỳ thiết bị theo dõi GPS nào, truy cập vào vị trí thời gian thực của phương tiện và lịch sử di chuyển của phương tiện, đồng thời có thể "tắt máy phương tiện từ xa". Vì mật khẩu được nhúng trực tiếp vào mã của ứng dụng Android nên không khó để tìm ra chúng.

Nghiên cứu còn chỉ ra GPS đi kèm với mật khẩu mặc định là "123456", cho phép bất kỳ ai truy cập vào hệ thống mà không thay đổi mật khẩu thiết bị. BitSight nhận thấy 95% mẫu trong số 1.000 thiết bị mà họ thử nghiệm có thể truy cập được bằng mật khẩu mặc định không thay đổi, có thể là do chủ sở hữu thiết bị không được nhắc thay đổi mật khẩu khi thiết lập.

GPS xuất xứ Trung Quốc lỗi bảo mật, các phương tiện quân sự bị tiết lộ vị trí - Ảnh 1.

Hàng triệu phương tiện đã bị tiết lộ vị trí do lỗ hổng thiết bị GPS. Ảnh: Techcrunch

BitSight nhấn mạnh các thiết bị GPS của MiCODUS đang bị tấn công trên khắp thế giới, đặc biệt ở Ukraine, Nga, Uzbekistan và Brazil, cũng như trên khắp châu Âu, bao gồm cả Tây Ban Nha, Ba Lan, Đức và Pháp. "Con số ở Mỹ nhỏ hơn nhưng cũng có thể lên tới hàng nghìn thiết bị" - Kevin Long, người phát ngôn của BitSight, nói với Tech Crunch.

Giám đốc điều hành BitSight Stephen Harvey cho biết các lỗ hổng này có khả năng gây ra "hậu quả tai hại" cho các chủ phương tiện bị theo dõi.

"BitSight đã liên hệ lần đầu với MiCODUS vào tháng 9 năm ngoái nhưng không có nỗ lực nào được thực hiện để khắc phục các lỗ hổng trước khi báo cáo được công bố" - Tech Crunch nói và cho rằng MiCODUS tới nay vẫn chưa đưa ra bất cứ bình luận nào liên quan đến vụ việc.

Bằng Hưng

Tin liên quan

Viết bình luận

Amazon Glow vừa bị “khai tử”
4 giờ trước 548 1k
(NLĐO) - Amazon “khai tử" thiết bị tương tác, gọi video dành cho trẻ em và phụ huynh có tên Amazon Glow chỉ sau một năm ra mắt.
Chuỗi sự kiện hưởng ứng Ngày Chuyển đổi số quốc gia tại Thanh Hóa
5 giờ trước 548 1k
(NLĐO)- Chuỗi sự kiện hưởng ứng Ngày Chuyển đổi số quốc gia năm 2022 trên địa bàn tỉnh Thanh Hóa là cơ hội để tất cả mọi người tìm hiểu, nâng cao nhận thức về chuyển đổi số một cách căn bản nhất.
Cảnh báo trào lưu “dán băng dính vào miệng khi ngủ” lan truyền trên TikTok
5/10/2022 548 1k
(NLĐO) - Mạng xã hội TikTok đang lan truyền trào lưu "dán băng dính vào miệng khi ngủ" để không phát ra tiếng ngáy và ngủ sâu hơn … nhưng nhiều bác sĩ cảnh báo nguy hiểm.
EU thông qua luật mới, Apple buộc phải thiết kế lại iPhone
5/10/2022 548 1k
(NLĐO) - Nghị viện châu Âu chính thức thông qua luật yêu cầu mọi thiết bị điện tử phải sử dụng cổng sạc USB-C.
Đà Nẵng: Cộng đồng công nghệ thông tin nói gì về Java Microservices?

Đà Nẵng: Cộng đồng công nghệ thông tin nói gì về Java Microservices?

(NLĐO) – Tại diễn đàn Đà Nẵng TechTalk, các diễn giả hàng đầu đã tập trung bàn luận về tính ứng dụng của Java Microservices – một phương pháp ứng dụng trong phát triển hệ thống phần mềm thông...