Tadqiqotchi yuzlab GPS soatlariga «PWNED!» deb yozib qo’ydi
Shu tarzda, tadqiqotchi ishlab chiqaruvchining e’tiborini gadjetlardagi tuzatilmagan zaifliklarga qaratishga harakat qildi.
Germaniyalik xavfsizlik tadqiqotchisi Kristofer Blekmann-Dreher yuzlab GPS soatlarining xaritalariga «PWNED!» so’zini yozib, o’zi aniqlagan zaiflikdan foydalangan. Tadqiqotchi bir yildan ko’proq vaqt oldin Avstriyaning Vidimensio kompaniyasining 20 ta soat modelida xavfsizlik muammolarini aniqlagan va bu haqda ishlab chiqaruvchiga xabar bergan. Vidimensio uning xabarlarini o’jarlik bilan e’tiborsiz qoldirganligi sababli, u radikal qadam tashlashga qaror qildi – yuzlab soatlarni buzib kirish. Zaif qurilmalar GPS soatlari va ularga hamroh bo’lgan mobil ilovalar o’rtasida vositachi va saqlash qurilmasi bo’lib xizmat qiladigan mashhur API dan foydalanadi. 2017-yil dekabr oyida Blekmann-Dreher qurilmalar tomonidan API serveri bilan aloqa qilish uchun ishlatiladigan mexanizmdagi zaifliklarni aniqladi. Bu zaifliklar tajovuzkorlarga Vidimensio Paladin soatlari egalarini tinglash va josuslik qilish imkonini berdi. Bundan tashqari, kiberjinoyatchilar API serveridagi ma’lumotlarni o’zgartirish va qurilmalarga turli buyruqlarni yuborish imkoniyatiga ega bo’lishdi.
Tadqiqotchining so’zlariga ko’ra, u Vidimensio kompaniyasiga muammolar haqida 2017-yil dekabr oyi oxirida xabar bergan, ammo ishlab chiqaruvchi ularni hal qilish uchun hech qanday choralar ko’rmagan. Keyin Blackman-Dreher ommaviy axborot vositalaridan yordam so’rab murojaat qildi va jamoatchilik bosimi ostida kompaniya 2018-yil aprel oyida yamoqlarni chiqardi. Biroq, tadqiqotchining so’zlariga ko’ra, bu yamoqlar faqat zaiflikni tuzatadi va tinglashga imkon beradi, boshqa muammolar esa hal qilinmagan.
Xususan, turli buyruqlarni qurilmalarga yuborish va API serveridagi ma’lumotlarni o’zgartirish imkonini beruvchi zaifliklar tuzatilmaganligicha qoldi. Shuning uchun, tadqiqotchi muammoga e’tibor qaratishga qaror qildi va zaifliklardan birini GPS koordinatalarini soxtalashtirish va «PWNED!» so’zini yozish uchun ishlatdi. «Men buni ancha kengroq miqyosda qila olaman, ya’ni tajovuzkorlar ham qila oladi», deb ta’kidladi tadqiqotchi.
