{"id":270989,"date":"2022-07-28T00:13:00","date_gmt":"2022-07-27T22:13:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=270989"},"modified":"2022-07-27T18:32:06","modified_gmt":"2022-07-27T16:32:06","slug":"schwachstellen-in-micodus-gps-tracker-mv720-ermglichen-fahrzeuge-zu-berwachen-und-zu-stoppen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/07\/28\/schwachstellen-in-micodus-gps-tracker-mv720-ermglichen-fahrzeuge-zu-berwachen-und-zu-stoppen\/","title":{"rendered":"Schwachstellen in MiCODUS GPS-Tracker MV720 ermöglichen Fahrzeuge zu überwachen und zu stoppen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitforscher haben in dem h\u00e4ufig in Fahrzeugen eingesetzten GPS-Tracker MV720 von MiCODUS sechs gravierende Sicherheitsl\u00fccken aufgesp\u00fcrt. Den Sicherheitsforschern ist es gelungen, die Tracker zu hacken, so dass die Standortdaten der Fahrzeuge durch Dritte \u00fcberwacht werden konnten. Und die Angreifer w\u00e4ren sogar in der Lage, die Fahrzeuge remote \u00fcber die Ger\u00e4te \u00fcber die Diebstahlsschutzfunktion zu stoppen. Der Hersteller wurde zwar informiert, wollte das Problem aber nicht beheben. Die US-CISA warnt vor den Ger\u00e4ten – Nutzern wird der Ausbau wegen der Sicherheitsrisiken empfohlen.<\/p>\n

<\/p>\n

MiCODUS und der GPS-Tracker MV720<\/h2>\n

\"\"MiCODUS<\/a> ist eine Firma, die in Shenzhen, Guangdong, China, beheimatet ist. Der Hersteller hat sich auf die Fertigung von Kfz-Elektronik und -Zubeh\u00f6r samt GPS-Trackern spezialisiert. Bisher sollen 1,5 Millionen GPS-Ortungsger\u00e4te bei 420.000 Kunden (darunter Regierungen, Milit\u00e4r, Strafverfolgungsbeh\u00f6rden und Unternehmen) im Einsatz ein. Beim GPS-Tracker MV720 handelt es sich um ein \u00e4lteres Modell, welches zur \u00dcberwachung in Fahrzeugen, Booten oder anderen Ger\u00e4ten (Baumaschinen) etc. eingebaut wird. Der MiCODUS MV720 bietet Diebstahlsicherung, Kraftstoffabschaltung, Fernsteuerung und Geofencing.<\/p>\n

\"MiCODUS<\/p>\n

Obiges Foto zeigt den Tracker, der in das Fahrzeug eingebaut werden kann. Er \u00fcberwacht die Fahrzeugposition per GPS-Signal und die Einheit l\u00e4sst sich per Smartphone kontrollieren. Bei einem Diebstahl des Fahrzeugs, oder wenn dieses einen per Geofencing definierten Bereich verl\u00e4sst, kann die Benzin-Zufuhr unterbrochen und das Fahrzeug so gestoppt werden. Der GPS-Tracker MV720 wird auf Alibaba, eBay, Amazon etc. f\u00fcr kleines Geld angeboten – ich habe Nachfolgemodelle f\u00fcr 20 bis 25 Euro gesehen.<\/p>\n

\"MiCODUS<\/p>\n

Gem\u00e4\u00df obigem Tweet wird dieser Tracker sehr h\u00e4ufig in Europa eingesetzt, wobei vor allem Fahrzeuge aus Osteuropa damit ausgestattet sind. In Nordamerika und Kanada scheint er weniger verbreitet zu sein.<\/p>\n

6 Schwachstellen, die US-CISA warnt<\/h2>\n

Sicherheitsforscher von bitsight.com sind bei der Analyse des MiCODUS GPS-Tracker MV720 aber auf sechs fette Schwachstellen (CVE-2022-2107; CVE-2022-2141; CVE-2022-2199; CVE-2022-34150; und CVE-2022-33944) gesto\u00dfen, die von fest-kodierten Zugangsdaten \u00fcber fehlerhafte Authentifizierung bis hin zu M\u00f6glichkeiten zum Umgehen der Authentifizierung beim Zugriff \u00fcber eine App reichen. Die Sicherheitsforscher von BitSight haben MiCODUS im September 2021 kontaktiert und die Schwachstellen gemeldet. MiCODUS hat aber nichts unternommen, um diese Schwachstellen per Update zu beseitigen.<\/p>\n

<\/p>\n

Nachdem die Kontaktversuche von BitSight mit MiCODUS ergebnislos blieben, haben die Sicherheitsforscher die US-Beh\u00f6rde Cybersecurity & Infrastructure Security Agency (CISA) kontaktiert und im Rahmen einer verantwortungsvollen Offenlegung das Dokument Critical Vulnerabilities Discovered in Popular Automotive GPS Tracking Device (MiCODUS MV720)<\/a> ver\u00f6ffentlicht. Dort werden die Schwachstellen im Detail beschrieben.<\/p>\n

Gleichzeitig gab es von der CISA zum 19. Juli 2022 eine Sicherheitswarnung icsa-22-200-01<\/a> und diesen Hinweis<\/a> mit einer Verlinkung auf diese Pressemitteilung<\/a> von BitSight. Besitzern von Fahrzeugen, die diesen Tracker eingebaut haben, sollten den MV720 baldm\u00f6glichst entfernen und ggf. durch andere GPS-Tracker, die sicher sind, ersetzen. (via Techchrunch<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitforscher haben in dem h\u00e4ufig in Fahrzeugen eingesetzten GPS-Tracker MV720 von MiCODUS sechs gravierende Sicherheitsl\u00fccken aufgesp\u00fcrt. Den Sicherheitsforschern ist es gelungen, die Tracker zu hacken, so dass die Standortdaten der Fahrzeuge durch Dritte \u00fcberwacht werden konnten. Und die Angreifer w\u00e4ren … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-270989","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270989","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=270989"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270989\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=270989"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=270989"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=270989"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}