Dersom du har GPS-modulen MV720 fra kinesiske MIcodus, bør du ta denne ut av bilen din, anbefaler en talsperson cybersikkerhetsfirmaet Bitsight, som har oppdaget flere alvorlige sikkerhetsfeil i produktet. MV720 finnes til salg i Norge.
Sikkerhetsfeilene tillater en angriper å få fjerntilgang til GPS-modulen, og overvåke lokasjon, stenge av drivstoffet i bilen, og å skru av og på forskjellige funksjoner til modulen, slik som alarmer, ifølge bloggposten til sikkerhetsfirmaet.
Får ikke kontakt
Bitsight oppdaget svakhetene så tidlig som september 2021, og har siden forsøkt å komme i kontakt med Micodus uten hell. På grunn av dette har de nå delt svakhetene med CISA og sammen blitt enige om at svakheten må deles offentlig ettersom produsenten av modulen ikke har gjort tiltak for å fikse feilene.
Det er oppdaget seks svakheter i MV720, hvorav to av dem har fått en CVSS-alvorlighetsgrad på 9.8 av 10. De feilene tillater angripere å sende kommandoer til GPS-moduler over internett uten noen reell form for autentisering. Svakhetene skal i følge Bitsight være trivielle å utnytte.
Micodus har ikke laget en fiks for sikkerhetsfeilene, og har heller ikke svart Bitsight eller CISA sine henvendelser. Bitsight anbefaler derfor at modulene fjernes fra kjøretøyene de er installert i.
Brukt i Norge
Det skal finnes over 1,5 millioner moduler spredd over 169 land, ifølge sikkerhetsfirmaet. Modulene skal også være i bruk av myndigheter, militære, og private selskaper, i tillegg til privatpersoner. De skal blant annet være i bruk av et fortune 50-olje, og gasselskap, et lands militære i sør-amerika, et fortune 50-teknologiselskap, og en østkyst-stat i USA.
I europa er modulene mest utbredt i Ukraina, og brukes av flere selskaper i landet, også statseide.
Ifølge bloggposten til BItsight er det oppdaget moduler som er i bruk i Norge, men ikke i hva slags omfang eller hvilke type kjøretøy. Modulene selges fremdeles via Micodus sine offisielle kanaler på Aliexpress og Alibaba. I norge er de også tilgjengelige via nettbutikken Slowmoose, som også er tilgjengelig på CDON.
Kan kutte drivstoffet
Ifølge sikkerhetsfirmaet skaper sikkerhetsfeilene risikoer for nasjonal sikkerhet i landene hvor modulene brukes i militærkjøretøy. Dette fordi kjøretøyenes bevegelser vil kunne monitoreres utenfra. Lignende GPS-dataene som ble offentliggjort fra treningsappen Strava vil dette kunne ha alvorlige implikasjoner for hemmelige militærbaser.
TIlgangen til å kutte drivstoffet til kjøretøy med modulen innstallert er også en betydelig risiko ifølge Bitsight, da kjøretøy på motorveien vil kunne stanses. Dersom modulene er i bruk i politibiler vil også kriminelle kunne planlegge å kutte drivstoffet til disse samtidig som de gjennomfører andre kriminelle handlinger.
Med både bekymringer for å bli overvåket, eller utsatt for et dataangrep som setter deg i stor trafikkfare er anbefalingen fra sikkerhetsfirmaet tydelig: Fjern GPS-modulen fra kjøretøyet ditt.