Os utilizadores do tracker GPS MiCODUS MV720 estão em risco de serem seguidos por qualquer pessoa, e de até poderem ficar com os carros bloqueados por atacantes.
O MiCODUS MV720 é um tracker GPS integrado / disfarçado como relé. O seu formato e preço reduzido (cerca de 20 euros) faz com que seja uma opção popular entre quem precisa saber a localização de veículos, e com a possibilidade de o desligar remotamente em caso de roubo, através de comandos enviados via SMS. O problema, é que isso pode acabar por se virar contra os utilizadores legítimos.
O sistema da MiCODUS tem sérias vulnerabilidades que permitem que um atacante possa ficar com acesso à localização dos trackers e também controlá-los.
Entre as falhas encontradas estão coisas que vão da utilização de uma password básica (123456) em todos os trackers sem exigência de que seja alterada pelos utilizadores; falhas que permitem obter relatórios de localização dos clientes sem necessidade de qualquer password; e password fixa no servidor API, que permite que um atacante ganhe controlo total dos trackers, incluindo a localização e possibilidade de os activar – podendo resultar na sua imobilização caso o relé tenha sido ligado à bomba de combustível ou outro elemento crítico para evitar o seu roubo.
O fabricante foi informado das falhas em Setembro de 2021 mas não deu qualquer seguimento, com os investigadores a comunicarem o caso à Homeland Security dos EUA para que o pedido tivesse mais “peso”. No entanto, passado mais de meio ano, o fabricante continua sem dar resposta e sem fazer qualquer correcção, continuando a deixar em risco todos os clientes com estes produtos. Um risco que aumenta exponencialmente agora que as vulnerabilidades foram tornadas públicas.
Publicado originalmente no AadM
🛒 Promoções Amazon
Câmara Blink Outdoor 4 com Sync Module CoreVer na Amazon 🛒
BRPOM Arrancador Bateria 10000A 12VVer na Amazon 🛒
OBD2 Diagnóstico Carro Bluetooth ELM327Ver na Amazon 🛒Como associado Amazon, ganho comissão em compras elegíveis.
