(纳闻记者钱明宇报导)
根据波士顿一家网络安全公司的最新研究,在 169 个国家/地区使用的流行的中国制造汽车 GPS 追踪器存在“严重漏洞”,对高速公路安全、国家安全和供应链构成潜在威胁。
BitSight 在一份新闻稿中表示,它在 MV720 GPS 追踪器中发现了六个“严重”缺陷,这是一种由中国公司 MiCODUS 制造的硬连线设备。
根据 7 月 19 日发布的 BitSight 报告,如果在攻击中被利用,这些漏洞可能允许“威胁行为者”远程控制配备设备的车辆,在车辆行驶时切断燃料,或监视其运动。BitSight研究人员指出,目前有 150 万个此类 GPS 跟踪设备被公司和个人使用。
美国网络安全和基础设施安全局(CISA)周二发布了有关设备缺陷的警告。 该机构表示,它不知道“公共漏洞专门针对这些漏洞”。
美国网络安全专家理查德克拉克表达了对中国政权的担忧。
“如果中国可以远程控制美国的车辆,我们就有问题了,”克拉克在新闻稿中说。
BitSight 表示,与总部位于深圳的制造商 MiCODUS 合作讨论 GPS 跟踪器漏洞的努力——从去年 9 月开始,CISA 于 4 月下旬加入——都失败了。
与 MiCODUS 联系,就 BitSight 报告发表评论。 一位销售经理在一封电子邮件中回复称,MV720 是“一种常见的车载 GPS 追踪器”,该公司“从未使用该产品进行任何非法行为”。
“不难利用”
GPS 追踪器在全球范围内用于监控车队——从卡车到校车再到军用车辆——并防止它们被盗。 除了收集有关车辆位置的数据外,他们通常还会监控其他指标,例如驾驶员行为和燃料使用情况。 通过远程访问,许多人通过有线连接来切断车辆的燃料或警报、锁定或解锁车门等等。
但受影响设备中的漏洞也可能让黑客获得对车辆的控制权。 例如,一个不良行为者可以“在他们不知情的情况下跟踪个人,远程禁用公司供应和紧急车辆的车队, [and] 在危险的高速公路上突然停止民用车辆,”根据 BitSight 报告。

“不幸的是,这些漏洞并不难利用,”该项目的主要 BitSight 研究员 Pedro Umbelino 说。 他说,可能存在多种恶意情况。 例如,受害者的车辆可能会瘫痪,或者黑客可能会关闭引擎并要求受害者支付加密货币赎金以避免呼叫机械师。
研究人员列出了 GPS 追踪器的主要用户,包括财富 50 强能源公司和航空航天公司、南美国家军队、西欧政府和东欧国家军队。 该报告没有提供实体名称。
BitSight 研究人员敦促用户立即禁用 MV720 GPS 跟踪器,该跟踪器可在主要在线零售商处购买,每台成本低于 25 美元,直到“公司提供修复程序”。
克拉克称 GPS 设备是中国制造的智能产品的又一个例子,“它正在给家里打电话,可能被中国政府恶意使用”。
虽然克拉克表示他怀疑追踪器是为此目的而设计的,但危险是真实存在的,因为中国公司依法有义务遵守中国共产党的命令——这就是华盛顿一直在寻求将美国电信网络中的中国组件最小化的原因,以及为什么一些美国立法者正在推动禁止美国政府购买中国无人机。
“你只是想知道,我们多久会发现这些作为基础设施的东西——有可能被中国滥用——而用户却不知道?” 克拉克告诉美联社。
罗亚和美联社为本报告做出了贡献。
