Meldung

Schwachstellen in GPS-Trackern

Sicherheitsforscher von BitSight fanden sechs Schwachstellen in GPS-Trackern des Herstellers MiCODUS. Sie ermöglichen es Hackern unter anderem, den Standort von Personen ohne deren Wissen nachzuverfolgen, Flotten von Liefer- und Einsatzfahrzeugen aus der Ferne zu deaktivieren, und zivile Fahrzeuge auf Autobahnen abrupt anzuhalten.
Haufenweise Anfängerfehler: GPS-Tracker von MiCODUS lassen sich ohne nennenswerte Hürden angreifen.
Weltweit seien wohl 1,5 Millionen Geräte des Herstellers im Einsatz. Unter den Betroffenen, teils aus Deutschland, sollen Privatpersonen, Regierungsbehörden, Militärs, Strafverfolgungsbehörden und Unternehmen sein. Es gebe bisher noch keine Patches für die Schwachstellen. Ein Blick auf die Programmierung der GPS-Tracker führe dabei vor Augen, wie angreifbar die Tracker sind. "MiCODUS mit Sitz im chinesischen Shenzhen hat eine grundlegend unsichere Kommunikationsarchitektur, die auf einer zentralen Steuerung all dieser Geräte von einer einzigen IP-Adresse oder Website aus beruht", erklärt Steve Gyurindak, Chief Technical Officer, Network & Operational Technology bei Armis [2]. "Dadurch ist das gesamte System für einfache Man-in-the-Middle-, Denial-of-Service-Angriffe und Attacken zur Umgehung der Authentifizierung anfällig."

Außerdem verwende der Hersteller unverschlüsseltes HTTP und ein unverschlüsseltes proprietäres Protokoll, um die gesamte Kommunikation mit dem GPS-Gerät zu ermöglichen. Es könne sogar einfach über SMS-Nachrichten jedes GPS-Gerät gesteuert werden. Der Hersteller ermögliche die Umprogrammierung der IP-Adresse des API-Servers des Geräts, sodass jeder Angreifer die Möglichkeit habe, den GPS-Tracker von jedem Ort aus zu überwachen und zu steuern. Wann es eine Lösung für das Sicherheitsproblem geben wird, sei aktuell noch nicht abzusehen.
2.08.2022/dr

Tipps & Tools

Schwachstellen in GPS-Trackern [2.08.2022]

Sicherheitsforscher von BitSight fanden sechs Schwachstellen in GPS-Trackern des Herstellers MiCODUS. Sie ermöglichen es Hackern unter anderem, den Standort von Personen ohne deren Wissen nachzuverfolgen, Flotten von Liefer- und Einsatzfahrzeugen aus der Ferne zu deaktivieren, und zivile Fahrzeuge auf Autobahnen abrupt anzuhalten. [mehr]

Download der Woche: Metasploit Framework [27.07.2022]

Kenne deinen Gegner. Die alte Weisheit, dass Sie als Admin wie ein Hacker denken müssen, hat mehr denn je Gültigkeit. Erkennen Sie die eigenen Schwachpunkte frühzeitig, sind Sie den Bösewichten einen Schritt voraus. Hier kann Ihnen das Open-Source-Projekt "Metasploit Framework" Hilfe leisten. Mit dem Werkzeug machen Sie Sicherheitslücken in Ihren Netzwerken ausfindig. [mehr]

Fachartikel

Advertorial: E-Book OPNsense – Mehr als eine Firewall [31.07.2022]

Als leicht bedienbare Security-Plattform findet die Open Source Firewall OPNsense in immer mehr Unternehmen Anwendung. Aber OPNsense punktet nicht nur durch hohe Zugänglichkeit und den Wegfall von Lizenzkosten: Dank seines modularen Aufbaus integriert es die besten Open-Source-Sicherheitslösungen unter einer einheitlichen Oberfläche und überzeugt so mit einem Funktionsumfang, der viele kostenpflichtige Lösungen übertrifft. Im neuen E-Book "OPNsense – Mehr als eine Firewall" der Thomas-Krenn.AG und ihrem Partner m.a.x. it finden Sie alle Informationen zum Einstieg in OPNsense und für die Grundabsicherung eines Unternehmensnetzes. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen