一項新研究表明，某廠商製造的一款流行的GPS 車輛追踪器，存在一個極易被利用來跟踪和遠程切斷全球超百萬車輛動力輸出的安全漏洞。網絡安全初創公司BitSight 表示，其在MV720 中發現了六個漏洞。但更糟糕的是，該廠商並無去積極修復的意願。

報告指出，這款由MiCODUS 製造的硬連線GPS 追踪器，擁有全球42 萬+ 客戶和150 萬終端部署量。

除了私家車、執法機構、以及軍隊和政府客戶，BitSight還發現，財富50 強公司和一家核電運營商也在使用這款GPS 追踪器。

危險的是，攻擊可在遠程輕鬆利用相關安全漏洞來實時追踪任何車輛、訪問路線歷史記錄、甚至切斷形式中的車輛引擎。

BitSight 首席安全研究員Pedro Umbelino 補充道：

這些漏洞的利用難度並不高、且其性質揭示了其它模型的重大問題—— 暗示MiCODUS 品牌的其它GPS 追踪器型號也可能存在相關風險。

鑑於漏洞的嚴重性、且沒有修復程序，BitSight 和美國政府的網絡安全諮詢機構CISA都發出了警告，提醒車主盡快移除這些設備以降低風險。

這六個漏洞的嚴重性和可利用性各不相同，除了其中一個、其它幾個都為’高’或更嚴重。

部分bug 存在於GPS 追踪器本身，而客戶用於追踪其車隊的Web 儀表板也漏洞百出。

但最讓安全研究人員感到擔心的，還是硬編碼密碼方面的缺陷。

由於密碼直接嵌入到Android 應用程序的代碼中，任何人都可挖掘、找到、並利用。

其可被用於完全控制任何GPS 追踪器、訪問車輛實時位置和路線歷史、乃至遠程切斷動力輸出。

此外研究發現這款GPS 追踪器的默認密碼為123456，且任何人都可訪問未修改過密碼的GPS 追踪器。

BitSight 測試發現，1000 台設備樣本中，有95% 在使用未更改的默認密碼來訪問。

這或許是在初始配置時，設備就沒有提醒用戶變更密碼。

另外兩個是“不安全的直接對象引用”漏洞（簡稱IDOR）：

IDOR 漏洞使得登錄用戶能夠訪問不屬於他們的、易受攻擊的GPS 追踪器的數據。

電子表格中包括了設備生成的活動記錄，比如歷史位置和行駛路線。

最後，研究人員在世界各地都發現了易受攻擊的MiCODUS GPS 追踪器。

其中烏克蘭、俄羅斯、烏茲別克斯坦、巴西，以及包括西班牙、波蘭、德國和法國在內的整個歐洲地區的設備集中度最高。

BitSight 發言人Kevin Long 指出，即使美國市場的問題設備比例較小，也確切數字也可能有成千上萬。

遺憾的是，儘管這些漏洞可能對車主造成災難性的影響，但在2021 年9 月首次聯繫MiCODUS 之後，該公司仍未在報告發布前積極修復。

通常情況下，安全研究人員會被廠商留下三個月的緩衝時間。不過截稿時，MiCODUS 並未立即回應外媒的置評請求。