นักวิจัยจาก BitSigh เตือนให้ปิดการทำงานของ MV720 GPS tracker ที่ใช้ในรถหลายรุ่น หลังพบช่องโหว่ร้ายแรง เปิดทางให้แฮกเกอร์ติดตามพิกัด ตัดการจ่ายน้ำมันขณะวิ่ง เพื่อหยุดการทำงานของเครื่องยนต์ได้

หลายคนกลัวรถหาย เลยชื้อ GPS มาติดในรถ เวลาที่มีปัญหาจะได้ตามรถกลับมาได้ถูก หรือหลายบริษัทเองก็ใช้ในการตรวจจับพฤติกรรมการขับขี่ของพนักงาน แต่ปัญหาคือ นักวิจัยพบช่องโหว่ใน GPS รุ่นยนอดนิยมจากจีน

GPS tracker ที่มีปัญหาคือ MV720 ของ MiCODUS ซึ่งเป็นอุปกรณ์ยอดนิยมจากจีนที่นิยมใช้งานกันทั่วโลก เพราะมีราคาย่อมเยา ประสิทธิภาพดี ซึ่งนักวิจัยจาก BitSigh พบว่ามีช่องโหว่ถึง 6 ช่องโหว่ ทั้งที่เกิดขึ้นกับตัว GPS เอง จนไปถึงแดชบอร์ดในหน้าเว็บที่ใช้ติดตามพิกัด ช่องโหว่เหล่านี้เปิดทางให้แฮกเกอร์ติดตามการทำงานของรถที่ติดอยู่ได้

แต่ช่องโหว่ที่ร้ายแรงที่สุดคือ สามารถตัดการทำงานของเครื่องยนต์ ซึ่ง GPS tracker ยี่ห้อนี้ติดตั้งในรถยนต์หลายรุ่นทั่วโลก มีรถยนต์ได้รับผลกระทบมากกว่า 1.5 ล้านคนทั่วโลก ทั้งในบริษัทขนส่ง หน่วยงานด้านกฎหมาย หน่วยงานกองทัพและรัฐบาล นอกจากนั้นยังใช้ในบริษัท Fortune 50 และผู้ให้บริการโรงงานนิวเคลียร์

Dots on a map representing Micodus users

แผนที่ผู้ใช้ MiCODUS. Image Credits: BitSight/supplied.

ส่วนอีกช่องโหว่คือ เกิดขึ้นกับรหัสผ่าน ที่ผู้ใช้ส่วนใหญ่มักจะใช้รหัสเดิมที่ติดมากับตัวเครื่อง โดยไม่มีการเปลี่ยนรหัสผ่านใหม่ ซึ่งรหัสผ่านนี้จะฝังในแอปบนแอนดรอยด์จึงทำให้แฮกเกอร์ที่เชี่ยวชาญด้านโค้ดเจาะเข้าระบบได้ง่ายๆ ที่น่ากลัวคือ นักวิจัยพบว่ารหัสตั้งต้นนั้นส่วนใหญ่จะเป็น “123456” และเมื่อมีการลุ่มตรวจอุปกรณ์ 1,000 ชิ้น พบว่า 95% ยังใช้รหัสเดิม

ส่วนอีก 2 ช่องโหว่ คือ insecure direct object references (IDORs) เปิดช่องให้ผู้ที่ล็อกอินเข้าบัญชี สามารถเข้าถึงอุปกรณ์ที่ไม่เป็นเจ้าของได้ เพื่อเก็บข้อมูลกิจกรรม เส้นทางที่ใช้และพิกัดที่เคยไปได้

ปัจจุบัน MiCODUS GPS trackers นั้นมีการใช้งานทั่วโลกในกว่า 169 ประเทศ แต่พื้นที่ใช้งานเยอะๆจะเป็นภูมิภาคยุโรป ส่วนในไทยเองก็มีผู้ใช้อยู่ด้วย ทางนักวิจัยได้ส่งข้อมูลให้กับบริษัทผู้พัฒนาแล้ว แต่ยังไม่มีการแก้ไขช่องโหว่ที่เกิดขึ้น ดังนั้นใครที่ใช้รุ่นนี้อยู่แนะนำว่าให้ถอดออกก่อนจนกว่าจะแก้ปัญหาเรียบร้อยก่อน

แต่จากช่องโหว่ที่พบนี้ทำให้เกิดคำถามตามมาว่า ใน GPS tracker แบรนด์อื่นๆนั้น มีความเป็นไปได้ว่าอาจจะมีช่องโหว่แบบเดียวกันอยู่

ที่มา TechCrunch