Tracker GPS MiCODUS deixa carros em risco de serem imobilizados por atacantes

Os utilizadores do tracker GPS MiCODUS MV720 estão em risco de serem seguidos por qualquer pessoa, e de até poderem ficar com os carros bloqueados por atacantes.

O MiCODUS MV720 é um tracker GPS integrado / disfarçado como relé. O seu formato e preço reduzido (cerca de 20 euros) faz com que seja uma opção popular entre quem precisa saber a localização de veículos, e com a possibilidade de o desligar remotamente em caso de roubo, através de comandos enviados via SMS. O problema, é que isso pode acabar por se virar contra os utilizadores legítimos.

O sistema da MiCODUS tem sérias vulnerabilidades que permitem que um atacante possa ficar com acesso à localização dos trackers e também controlá-los.

Entre as falhas encontradas estão coisas que vão da utilização de uma password básica (123456) em todos os trackers sem exigência de que seja alterada pelos utilizadores; falhas que permitem obter relatórios de localização dos clientes sem necessidade de qualquer password; e password fixa no servidor API, que permite que um atacante ganhe controlo total dos trackers, incluindo a localização e possibilidade de os activar - podendo resultar na sua imobilização caso o relé tenha sido ligado à bomba de combustível ou outro elemento crítico para evitar o seu roubo.

O fabricante foi informado das falhas em Setembro de 2021 mas não deu qualquer seguimento, com os investigadores a comunicarem o caso à Homeland Security dos EUA para que o pedido tivesse mais "peso". No entanto, passado mais de meio ano, o fabricante continua sem dar resposta e sem fazer qualquer correcção, continuando a deixar em risco todos os clientes com estes produtos. Um risco que aumenta exponencialmente agora que as vulnerabilidades foram tornadas públicas.