Sicherheitslücken in GPS-Tracker von MiCODUS können Menschenleben gefährden
Sicherheitsforscher warnen davor, dass Angreifer unter anderem PKWs der Regierung aus der Ferne stoppen könnten. Sicherheitspatches gibt es bislang nicht.
(Bild: Anterovium/Shutterstock.com)
Sicherheitsforscher von Bitsight sind auf sechs gefährliche Sicherheitslücken im GPS-Tracker MV720 von MiCODUS gestoßen. Ihnen zufolge kommt der Tracker weltweit vor allem in Autos zum Einsatz. Der Hersteller soll auf die Lücken nicht reagieren. Nun warnt die US-Regierung vor dem Einsatz des Trackers.
Einem Bericht zufolge soll der Tracker unter anderem in Fahrzeugen von Regierungen, militärischen Einrichtungen und Strafverfolgern zum Einsatz kommen. Dort diene er vor allem als Anti-Diebstahlsicherung. Den Forschern zufolge kann man darüber aber auch Autos stoppen oder sogar die Benzinzufuhr kappen. Das könnte beispielsweise auf einer dichtbefahrenen Autobahn zu lebensbedrohlichen Situationen führen. Auch das Verfolgen von Fahrzeugen sei vorstellbar. Dafür könnten sich Angreifer als Man-in-the-Middle in Verbindungen einklinken.
Kritische Situation
In einer Warnmeldung stuft die Cybersecurity & Infrastructure Security Agency (CISA) das Risiko als „kritisch“ ein. Aufgrund von beispielsweise hartcodierten Zugangsdaten könnten sich entfernte Angreifer Zugang verschaffen. So sollen sie etwa in SMS-Nachrichten verpackte Befehle direkt an den GPS-Tracker schicken können.
Die Sicherheitsforscher geben an, den Hersteller im September 2021 zum ersten Mal kontaktiert zu haben. Seitdem soll der Kontakt sehr schwerfällig ausfallen. Im Oktober soll der Hersteller gesagt haben, an dem Problem zu arbeiten. Sicherheitspatches sind aber bis zum heutigen Tag nicht erschienen.
Tracker nicht mehr nutzen
Die Forscher gehen davon aus, dass noch weitere Tracker des Herstellers von Lücken betroffen sind. MiCODUS gibt an, dass ihre Tracker in 1,5 Millionen Geräten von 420.000 Kunden zum Einsatz kommen. Darunter sind auch Kunden aus Deutschland. Wer konkret davon betroffen ist, geht aus dem Bericht nicht hervor.
Aus Sicherheitsgründen sollten Nutzer den Tracker bis zum Erscheinen von Sicherheitsupdates deaktivieren. Wie das konkret funktioniert, führen die Forscher nicht aus.
(des)
