Компания по кибербезопасности BitSight представила отчёт о шести найденных уязвимостях в GPS-трекере MV720. Его производит компания Micodus из Шэньчжэня.

Все, кроме одной из шести найденных уязвимостей относятся к категориям высокой и критической опасности. Некоторые обнаружены в самом GPS-трекеры, часть относятся к веб-серверу, через который отправляются данные.

Также GPS-трекер поставляется с паролем «123456» по умолчанию. Исследователи выяснили, что 95% из 1000 случайных устройств используются с неизменённым паролем.

В BitSight считают, что эти ошибки позволяют отслеживать геолокацию предметов, где установлена MV270. Обычно устройство ставят в транспортные средства для отслеживания местоположения и скорости в реальном времени. Считается, что Micodus удалось продать 1,5 млн трекеров, которые в том числе используются в государственных, военных и правоохранительных органах разных стран. Судя по карте BitSight, MV270 активно используются и в России.

«Если Китай может дистанционно отслеживать транспортные средства в Соединенных Штатах, у нас проблема», — Ричард Кларк, эксперт по нацбезопасности

Специалисты рекомендуют немедленно отключить любые GPS-трекеры Micodus MV270 до выпуска патча. Возможно, для этого потребуется консультация механика, так как обычно устройство требует установки профессионалом.