GPS fabricados en China arriesgan la seguridad de miles de vehículos
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) y la firma de ciberseguridad BitSight publicaron un informe sobre un GPS fabricado en Shenzen, China que se utiliza en 1.5 millones de automóviles para diferentes empresas en 169 países y que tiene vulnerabilidades que ponen en riesgo a más de 420,000 usuarios alrededor del mundo.
Estos componentes GPS, que cuestan menos de 25 centavos de dólar, se utilizan para conocer la ubicación de vehículos militares, transportes escolares o flotillas principalmente para protegerlos contra robos, monitorear métricas sobre el comportamiento del conductor o el uso del combustible, por lo que es peligroso un escenario en el que alguien no autorizado tenga acceso a esta información además del hecho que podría ser capaz de manipular el combustible, la alarma, bloquear o desbloquear puertas, bloquear la función de solicitar ayuda y otras acciones sobre el vehículo en cuestión. Los países con más usuarios inlcuyen Brazil, México, España y Rusia.
BitSight informa que 1. el dispositivo viene con una contraseña de fábrica que más del 90% de los usuarios no cambia; 2. Otra contraseña que se puede descubrir por fuerza bruta y que es la misma para absolutamente todas las piezas y 3. también se encontraron fallas en la herramienta web que se utiliza para localizar dichos componentes. Hasta ahora se desconoce si alguien ya ha explotado esta falla intencionalmente.
No se puede asegurar que el componente haya sido desarrollado con estos propósitos específicos, sin embargo el peligro es real y dado el reciente historial de China y el espionaje se están levantando algunas cejas. Desde hace algunos años Estados Unidos está buscando alternativas a componentes de procedencia china.