Uma investigação do português Pedro Umbelino, que trabalha na empresa de cibersegurança BitSight, revela que há várias vulnerabilidades graves num popular localizador de GPS para veículos que podem ser exploradas por piratas informáticos para saber a localização de um milhão de veículos, interromper o fornecimento de combustível ou até tomar controlo de carros, representando um risco para a segurança dos condutores e peões. A descoberta foi validada também pela U.S. Cybersecurity and Infrastructure Security Agency (CISA), que elenca cinco vulnerabilidades naquele equipamento.
O módulo em questão, denominado MV720, é feito pela empresa MiCODUS, oriunda de Shenzen, China. A BitSight explica que está desde setembro a tentar contactar o fabricante para tentar encontrar uma solução para as vulnerabilidades encontradas, mas sem sucesso. A Associated Press tentou contactar por telefone e e-mail a empresa chinesa, também sem sucesso.
Apesar das falhas, a CISA descreve que não tem conhecimento de qualquer exploração ativa das vulnerabilidades. Os módulos de GPS são usados para monitorizar frotas de veículos e servem de proteção contra roubos de camiões, autocarros escolares ou veículos militares, mantendo ainda registos dos comportamentos ao volante e uso de combustível. A exploração das falhas permite aos hackers interferir com o normal funcionamento dos veículos em estrada, cortar o combustível, trancar ou destrancar portas ou espiar o trajeto que esteja a ser seguido.
A principal falha prende-se com a password escolhida por defeito pelo fabricante e que não é mudada por 90% dos utilizadores, enquanto há outra vulnerabilidade que passa por uma palavra-chave que funciona em todos os aparelhos. Também o software que faz a gestão remota através de um servidor web apresenta falhas de segurança que podem ser exploradas.
Dados da MiCODUS revelam que tem mais de 1,5 milhões de módulos instalados em 420 mil clientes, com Brasil, México, Espanha e Rússia a serem os países onde há mais utilizadores.