网络安全研究人员发现,一款在全球广泛使用的中国产汽车全球定位(GPS)追踪装置存在严重漏洞,容易让黑客入侵车上软件,继而挟持汽车,因此对路面交通和国家安全都构成潜在威胁。专家呼吁用户立即停用该款产品,直至制造商修补软件漏洞为止。
综合美联社及全国公共广播电台(NPR)报道,波士顿网络安全评级公司BitSight在19日发表报告,表示事件中的GPS追踪装置产自深圳厂商MiCODUS,型号为“MV720”。研究人员自去年9月起,已向对方反映问题要求跟进,到今年4月,联邦网络安全和基础设施安全局(CISA)亦已介入,但至今未有收到回应。除了BitSight外,CISA亦发表报告,表示“MV720”定位装置存在5大漏洞,但暂未发现大规模黑客渗透的迹象。据悉,涉事的追踪装置主要用于汽车防盗,以及方便企业管理旗下车队,目前在全球169个国家或地区广泛使用,每套装置成本不到25美元。MiCODUS表示,产品在全球售出150万部,全球42万名用户正在使用。
BitSight首席研究员乌姆贝利诺(Pedro Umbelino)表示,黑客可以利用“MV720”的软件漏洞,遥距切断车辆的燃油管路;掌握车辆的实时位置;或者监控、截取车辆的多方面信息,必要的话可以挟持车辆,在可以预见的情况中,急救车辆可能突然停驶,黑客亦可关闭车辆引擎,并向车主索取赎金。
BitSight表示,“MV720”出厂时附带密码,但超过90%用户不会更改密码,因此容易被黑客趁虚而入,此外装置还有1套万用密码,适用于所有设备。研究又发现,负责远程管理“MV720”的网络服务器亦有安全漏洞。
报告表示,目前使用这款设备的包括能源公司、航天公司、南美和东欧部分国家的军队、核电厂运营商和西欧部分国家的执法机构,用户最多的国家包括巴西、墨西哥、西班牙和俄罗斯。
政府前网络安全顾问克拉克(Richard Clarke)表示,相信产品并非设计时蓄意留下漏洞,但依然构成风险,建议美方应减少使用中国的通信零件。