汽车GPS跟踪器存在6个漏洞，泄露数百万用户信息

安全研究人员发现MiCODUS MV720 GPS 跟踪器存在6个高危漏洞，该跟踪器遍布于169 个国家/地区的约 150 万辆汽车中。黑客利用这些漏洞，轻松跟踪使用该GPS设备的车辆位置信息，可能导致数百万用户信息泄露。

漏洞相关细节

CVE-2022-2107：API 服务器上的硬编码主密码，允许未经身份验证的远程攻击者完全控制任何 MV720 跟踪器、执行切断燃料操作、跟踪用户和解除警报。（严重程度评分：9.8）

CVE-2022-2141：认证方案被破坏，允许任何人通过 SMS 向 GPS 跟踪器发送一些命令并以管理员权限运行它们。（严重程度评分：9.8）

未分配 CVE：所有 MV720 跟踪器上的默认密码 (123456) 较弱，没有强制规则要求用户在初始设备设置后更改密码。（高严重性评分：8.1）

CVE-2022-2199：主 Web 服务器上的反射跨站点脚本 (XSS)，允许攻击者访问用户帐户、与应用程序交互并查看该用户可访问的所有信息。（高严重性评分：7.5）

CVE-2022-34150：主 Web 服务器上的直接对象引用不安全，允许登录用户从服务器数据库中的任何设备 ID 访问数据。（高严重性评分：7.1）

CVE-2022-33944：主 Web 服务器上的直接对象引用不安全，允许未经身份验证的用户生成有关 GPS 跟踪器活动的 Excel 报告。（中等严重程度评分：6.5）

BitSight 为收到识别号的五个缺陷开发了概念证明 (PoC) 代码，展示了在野外它们如何被利用。

漏洞带来的风险大

据悉，该追踪器广泛应用于多家财富 50 强公司、欧洲政府、美国各州、南美军事机构和核电站运营商使用的车辆中。

MiCODUS MV720 用户地图 （BitSight）调查结果带来的风险很大，影响隐私和安全。利用漏洞入侵 MV720跟踪器的黑客可以使用它来跟踪甚至固定载有它的车辆，或者收集有关路线的信息，并操纵数据。

考虑到许多设备用户的角色，民族国家的对手可能利用他们来攻击国家，对国家安全产生威胁。例如，网络安全公司 BitSight 的研究人员在一份报告中说，乌克兰国有运输机构使用 MiCODUS GPS 跟踪器，因此俄罗斯黑客可以瞄准它们来确定补给路线、部队调动或巡逻路线。漏洞详情BitSight 研究了特定的 MiCODUS 模型，因为它是一种低成本（20 美元）且非常受欢迎的设备，它具有可靠的蜂窝跟踪功能，并且可用于潜在的危险活动，例如切断燃料。

披露和修复

该安全公司于 2021 年 9 月 9 日发现了严重漏洞，并试图立即向 MiCODUS提醒， 但找不到合适的人接受安全报告。最后，在 2022 年 1 月 14 日，BitSight 与美国国土安全部分享了其调查结果的所有技术细节，并要求他们通过沟通渠道与供应商进行接触。

目前，供应商尚未提供相关的修复方案，MiCODUS MV720 GPS 追踪器仍会受到上述缺陷的影响。在这次公开披露后，继续使用MiCODUS MV720 GPS追踪器将是一个极端的安全风险。因此，建议这些设备的用户立即禁用这些设备，直到修复完成或使用其他的 GPS 跟踪器进行替换。