Ein beliebter in China hergestellter GPS-Tracker für Kraftfahrzeuge, der in 169 Ländern verwendet wird, weist „schwerwiegende Schwachstellen“ auf, die eine potenzielle Gefahr für die Straßenverkehrssicherheit, die nationale Sicherheit und die Lieferketten darstellen, so neue Untersuchungen eines in Boston ansässigen Cybersicherheitsunternehmens.
BitSight sagte in einer Pressemitteilung, es habe sechs „schwerwiegende“ Fehler im GPS-Tracker MV720 entdeckt, einem fest verdrahteten Gerät, das von der chinesischen Firma MiCODUS hergestellt wird.
Wenn sie bei einem Angriff ausgenutzt werden, könnten die Schwachstellen „Bedrohungsakteuren“ ermöglichen, die Kontrolle über mit Geräten ausgestattete Fahrzeuge aus der Ferne zu übernehmen, den Kraftstoff abzuschalten, während ein Fahrzeug in Bewegung ist, oder seine Bewegungen zu überwachen, so der am 19. Juli veröffentlichte BitSight-Bericht. BitSight Forscher stellten fest, dass derzeit 1,5 Millionen solcher GPS-Ortungsgeräte von Unternehmen und Einzelpersonen verwendet werden.
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat am Dienstag vor den Mängeln der Geräte gewarnt. Die Agentur sagte, sie sei sich nicht bewusst, dass „öffentliche Exploits speziell auf diese Schwachstellen abzielen“.
Der US-Cybersicherheitsexperte Richard Clarke äußerte sich besorgt über das chinesische Regime.
„Wenn China Fahrzeuge in den Vereinigten Staaten fernsteuern kann, haben wir ein Problem“, sagte Clarke in der Pressemitteilung.
BitSight sagte, dass die Bemühungen, mit dem in Shenzhen ansässigen Hersteller MiCODUS zusammenzuarbeiten, um die Schwachstellen des GPS-Trackers zu diskutieren – beginnend im September letzten Jahres, wobei CISA Ende April hinzukam – alle gescheitert seien.
Die Epoch Times hat MiCODUS um einen Kommentar zum BitSight-Bericht gebeten. Ein Vertriebsleiter antwortete in einer E-Mail und erklärte, dass der MV720 „ein gewöhnlicher Fahrzeug-GPS-Tracker“ sei und das Unternehmen „dieses Produkt nie für illegale Handlungen verwendet habe“.
„Nicht schwer auszunutzen“
GPS-Tracker werden weltweit eingesetzt, um Fahrzeugflotten – von Lastwagen über Schulbusse bis hin zu Militärfahrzeugen – zu überwachen und vor Diebstahl zu schützen. Zusätzlich zum Sammeln von Daten zum Fahrzeugstandort überwachen sie normalerweise andere Metriken wie das Fahrerverhalten und den Kraftstoffverbrauch. Über Fernzugriff sind viele so verkabelt, dass sie den Kraftstoff oder den Alarm eines Fahrzeugs abschalten, seine Türen verriegeln oder entriegeln und vieles mehr.
Die Schwachstellen im betroffenen Gerät könnten es Hackern aber auch ermöglichen, die Kontrolle über das Fahrzeug zu erlangen. Beispielsweise könnte ein schlechter Akteur „Personen ohne ihr Wissen verfolgen, Flotten von Versorgungs- und Einsatzfahrzeugen des Unternehmens aus der Ferne deaktivieren, [and] Zivilfahrzeuge auf gefährlichen Autobahnen abrupt anhalten“, so der BitSight-Bericht.
„Leider sind diese Schwachstellen nicht schwer auszunutzen“, sagte Pedro Umbelino, der leitende BitSight-Forscher des Projekts. Er sagte, mehrere bösartige Szenarien seien möglich. Beispielsweise könnte das Fahrzeug eines Opfers lahmgelegt werden, oder ein Hacker könnte einen Motor abstellen und von den Opfern ein Lösegeld in Kryptowährung verlangen, um den Anruf eines Mechanikers zu vermeiden.
Die Forscher listeten die wichtigsten Benutzer der GPS-Tracker auf, darunter ein Fortune-50-Energieunternehmen und ein Luft- und Raumfahrtunternehmen, ein nationales Militär in Südamerika, eine Regierung in Westeuropa und ein nationales Militär in Osteuropa. Der Bericht enthielt keine Entitätsnamen.
Die BitSight-Forscher forderten die Benutzer auf, den MV720-GPS-Tracker, der bei großen Online-Händlern erhältlich ist und weniger als 25 US-Dollar pro Einheit kostet, sofort zu deaktivieren, bis „das Unternehmen eine Lösung bereitstellt“.
Clarke nannte das GPS-Gerät ein weiteres Beispiel für ein intelligentes, in China hergestelltes Produkt, „das nach Hause telefoniert und von der chinesischen Regierung böswillig verwendet werden könnte“.
Während Clarke sagte, er bezweifle, dass der Tracker für diesen Zweck entwickelt wurde, ist die Gefahr real, da chinesische Unternehmen gesetzlich verpflichtet sind, den Anweisungen der Kommunistischen Partei Chinas Folge zu leisten – weshalb Washington versucht hat, chinesische Komponenten in US-Telekommunikationsnetzen zu minimieren, und warum Einige US-Gesetzgeber drängen auf ein Verbot des Kaufs chinesischer Drohnen durch die US-Regierung.
„Sie fragen sich nur, wie oft wir diese Dinge finden werden, die Infrastruktur sind – wo es ein Potenzial für chinesischen Missbrauch gibt – und die Benutzer es nicht wissen?“ Clarke gegenüber The Associated Press.
Luo Ya und The Associated Press haben zu diesem Bericht beigetragen.
Text ist eine Übersetzung vom Epoch Times Artikel: