প্রধান টেকওয়ে
- গবেষকরা লক্ষাধিক যানবাহনে ব্যবহৃত জনপ্রিয় জিপিএস ট্র্যাকারে গুরুতর দুর্বলতাগুলি আবিষ্কার করেছেন৷
- বাগগুলি অপরিবর্তিত রয়েছে কারণ নির্মাতা গবেষকদের সাথে এমনকি সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (CISA) এর সাথে জড়িত হতে ব্যর্থ হয়েছে।
- এটি সম্পূর্ণ স্মার্ট ডিভাইস ইকোসিস্টেমের অন্তর্নিহিত একটি সমস্যার শারীরিক প্রকাশ, নিরাপত্তা বিশেষজ্ঞদের পরামর্শ।
নিরাপত্তা গবেষকরা একটি জনপ্রিয় জিপিএস ট্র্যাকারের গুরুতর দুর্বলতাগুলি উন্মোচন করেছেন যা বিশ্বজুড়ে এক মিলিয়নেরও বেশি যানবাহনে ব্যবহৃত হয়৷
নিরাপত্তা বিক্রেতা BitSight-এর গবেষকদের মতে, MiCODUS MV720 গাড়ির জিপিএস ট্র্যাকারের ছয়টি দুর্বলতা ব্যবহার করা হলে, হুমকি অভিনেতাদের গাড়ির ট্র্যাক করা বা এর জ্বালানি কেটে ফেলা সহ ডিভাইসের কার্যাবলী অ্যাক্সেস এবং নিয়ন্ত্রণ করতে সক্ষম করে। সরবরাহ যদিও নিরাপত্তা বিশেষজ্ঞরা সামগ্রিকভাবে স্মার্ট, ইন্টারনেট-সক্ষম ডিভাইসগুলির শিথিল নিরাপত্তা নিয়ে উদ্বেগ প্রকাশ করেছেন, বিটসাইট গবেষণা আমাদের গোপনীয়তা এবং নিরাপত্তা উভয়ের জন্যই বিশেষভাবে উদ্বেগজনক৷
“দুর্ভাগ্যবশত, এই দুর্বলতাগুলিকে কাজে লাগানো কঠিন নয়,” বিটসাইটের প্রধান নিরাপত্তা গবেষক পেড্রো উমবেলিনো একটি প্রেস রিলিজে উল্লেখ করেছেন। "এই বিক্রেতার সামগ্রিক সিস্টেম আর্কিটেকচারের মৌলিক ত্রুটিগুলি অন্যান্য মডেলের দুর্বলতা সম্পর্কে গুরুত্বপূর্ণ প্রশ্ন উত্থাপন করে।"
রিমোট কন্ট্রোল
রিপোর্টে, বিটসাইট বলেছে যে এটি MV720 তে শূন্য হয়েছে কারণ এটি কোম্পানির সবচেয়ে কম ব্যয়বহুল মডেল যা অ্যান্টি-থেফ্ট, ফুয়েল কাট-অফ, রিমোট কন্ট্রোল এবং জিওফেন্সিং ক্ষমতা প্রদান করে।সেলুলার-সক্ষম ট্র্যাকার একটি সিম কার্ড ব্যবহার করে তার স্থিতি এবং অবস্থানের আপডেটগুলি সমর্থনকারী সার্ভারগুলিতে প্রেরণ করে এবং এটির বৈধ মালিকদের কাছ থেকে এসএমএসের মাধ্যমে আদেশ পাওয়ার জন্য ডিজাইন করা হয়েছে৷
বিটসাইট দাবি করেছে যে এটি অনেক প্রচেষ্টা ছাড়াই দুর্বলতাগুলি আবিষ্কার করেছে৷ এটি এমনকি পাঁচটি ত্রুটির জন্য ধারণার প্রমাণ (PoCs) কোড তৈরি করেছে যাতে প্রমাণিত হয় যে খারাপ অভিনেতারা বন্যের মধ্যে দুর্বলতাগুলিকে কাজে লাগাতে পারে৷
এবং এটি শুধুমাত্র ব্যক্তি নয় যারা প্রভাবিত হতে পারে। ট্র্যাকারগুলি কোম্পানিগুলির পাশাপাশি সরকার, সামরিক এবং আইন প্রয়োগকারী সংস্থাগুলির কাছে জনপ্রিয়৷ এর ফলে গবেষকরা তাদের গবেষণা CISA-এর সাথে শেয়ার করতে পরিচালিত করেন যখন এটি শেনজেন, চীন-ভিত্তিক প্রস্তুতকারক এবং স্বয়ংচালিত ইলেকট্রনিক্স এবং আনুষাঙ্গিক সরবরাহকারীর কাছ থেকে ইতিবাচক প্রতিক্রিয়া অর্জন করতে ব্যর্থ হয়৷
CISAও MiCODUS-এর কাছ থেকে প্রতিক্রিয়া পেতে ব্যর্থ হওয়ার পরে, সংস্থাটি বাগগুলিকে কমন ভালনারেবিলিটিস অ্যান্ড এক্সপোজারস (CVE) তালিকায় যুক্ত করার জন্য এটিকে নিজের উপর নিয়েছিল এবং তাদের একটি কমন ভালনারেবিলিটি স্কোরিং সিস্টেম (CVSS) স্কোর বরাদ্দ করেছে, তাদের মধ্যে কয়েকজন 9 এর একটি গুরুতর তীব্রতা স্কোর অর্জন করে।১০টির মধ্যে ৮টি।
এই দুর্বলতাগুলির শোষণের ফলে অনেক সম্ভাব্য আক্রমণের পরিস্থিতি তৈরি হতে পারে, যা "বিপর্যয়কর এবং এমনকি প্রাণঘাতী প্রভাব ফেলতে পারে," রিপোর্টে গবেষকরা উল্লেখ করেছেন৷
সস্তা রোমাঞ্চ
সহজেই ব্যবহারযোগ্য জিপিএস ট্র্যাকার বর্তমান প্রজন্মের ইন্টারনেট অফ থিংস (IoT) ডিভাইসগুলির সাথে অনেক ঝুঁকি হাইলাইট করে, গবেষকরা মনে রাখবেন৷
রজার গ্রিমস, গ্রিমস লাইফওয়্যারকে ইমেলের মাধ্যমে বলেছেন। "আপনার কথোপকথন রেকর্ড করতে আপনার সেল ফোন আপস করা যেতে পারে। আপনি এবং আপনার মিটিং রেকর্ড করতে আপনার ল্যাপটপের ওয়েবক্যাম চালু করা যেতে পারে। এবং আপনার গাড়ির জিপিএস ট্র্যাকিং ডিভাইস নির্দিষ্ট কর্মচারীদের খুঁজে বের করতে এবং যানবাহন নিষ্ক্রিয় করতে ব্যবহার করা যেতে পারে।"
গবেষকরা নোট করেছেন যে বর্তমানে, MiCODUS MV720 GPS ট্র্যাকার উল্লিখিত ত্রুটিগুলির জন্য দুর্বল রয়ে গেছে কারণ বিক্রেতা কোনও সমাধান উপলব্ধ করেনি। এই কারণে, বিটসাইট সুপারিশ করে যে কেউ এই জিপিএস ট্র্যাকার ব্যবহার করে একটি ফিক্স উপলব্ধ না হওয়া পর্যন্ত এটি অক্ষম করুন৷
এটির উপর ভিত্তি করে, গ্রিমস ব্যাখ্যা করেন প্যাচিং আরেকটি সমস্যা উপস্থাপন করে, কারণ এটি বিশেষ করে আইওটি ডিভাইসে সফ্টওয়্যার ফিক্স ইনস্টল করা কঠিন। "আপনি যদি মনে করেন নিয়মিত সফ্টওয়্যার প্যাচ করা কঠিন, তাহলে আইওটি ডিভাইসগুলি প্যাচ করা দশগুণ কঠিন," গ্রিমস বলেছিলেন৷
একটি আদর্শ বিশ্বে, যেকোনো আপডেট স্বয়ংক্রিয়ভাবে ইনস্টল করার জন্য সমস্ত IoT ডিভাইসে অটো-প্যাচিং থাকবে। কিন্তু দুর্ভাগ্যবশত, গ্রিমস উল্লেখ করেছেন যে বেশিরভাগ IoT ডিভাইসের জন্য লোকেদের ম্যানুয়ালি আপডেট করতে হয়, সমস্ত ধরণের হুপ যেমন একটি অসুবিধাজনক শারীরিক সংযোগ ব্যবহার করে।
"আমি অনুমান করি যে দুর্বল জিপিএস ট্র্যাকিং ডিভাইসগুলির 90% দুর্বল এবং শোষণযোগ্য থাকবে যদি এবং যখন বিক্রেতা প্রকৃতপক্ষে সেগুলি ঠিক করার সিদ্ধান্ত নেয়," গ্রিমস বলেছিলেন৷ "IoT ডিভাইসগুলি দুর্বলতায় পূর্ণ, এবং এটি হবে না এইসব গল্প যতই বেরিয়ে আসুক না কেন ভবিষ্যতের পরিবর্তন হবে।''
