安全研究人员警告说，在流行的汽车GPS跟踪设备中发现的大量零日漏洞“可能会造成灾难性甚至危及生命的影响”。BitSight研究员Pedro Umbelino发现的六个尚未修补的漏洞影响了由中国公司MiCODUS开发的MV720 GPS跟踪器的API服务器、GPS跟踪器协议和Web服务器。成功滥用这些漏洞可能会导致攻击者“为整个商业或紧急车辆车队加油”，使用GPS数据“监控并突然停止危险高速公路上的车辆”，或“跟踪个人或要求支付赎金以将残疾车辆送回工作条件”，根据BitSight的研究。

据这家网络安全公司称，MiCODUS MV720为至少169个国家/地区的客户提供防盗保护和车队管理功能，包括财富50强能源公司、南美的国家军队、西欧的联邦政府、国家执法部门西欧机构和核电站运营商。

令人担忧的是，BitSight表示Umbelino还发现了与该公司基于云的Web、iOS和Android设备管理界面相关的安全问题，这一发现意味着其他MiCODUS GPS跟踪模型也可能不安全。如果MiCODUS自己的数据是准确的，那么这相当于全球150万台潜在易受攻击的设备。

由于尚未出现安全补丁，BitSight已敦促用户“立即停止使用或禁用任何MiCODUS MV720 GPS跟踪器，直到有可用的修复程序”。

美国网络安全和基础设施安全局(CISA)的安全咨询表示，“没有已知的公开漏洞专门针对MV720 GPS跟踪器中的这些漏洞”。

API服务器中的两个关键身份验证问题（CVSS得分均为9.8）使“攻击者能够直接向GPS跟踪器发送SMS命令，就好像它们来自GPS所有者的手机号码一样”。

一个错误与硬编码的主密码(CVE-2022-2107)相关，另一个错误是由于身份验证不当(CVE-2022-2141)导致的，可能会导致中间操纵者(MitM)攻击。

设备和移动界面预配置了默认密码“123456”，BitSight将其归类为高严重性(CVSS 8.1)问题，尽管CISA拒绝分配CVE。据BitSight称，“没有强制规则更改密码，也没有任何声明过程”，它发现1000个响应设备ID中的94.5%仍然具有默认密码。

由于设备ID易于预测，并且服务器似乎缺乏密码暴力破解措施（例如速率限制），攻击者可以轻松访问随机GPS跟踪器。

同时，一个影响主Web服务器的高严重性(CVSS 7.5)反映的跨站点脚本(XSS)漏洞可能使攻击者能够“完全破坏设备”。

主Web服务器还包含一对经过身份验证的不安全直接对象引用漏洞，跟踪为CVE-2022-34150(CVSS 7.1)和CVE-2022-33944(CVSS 6.5)。

BitSight建议说：“拥有一个集中式仪表板来监控GPS跟踪器，并能够启用或禁用车辆、监控速度、路线和利用其他功能”具有潜在的危险性，因为它很有用。

“不幸的是，MiCODUS MV720缺乏基本的安全保护”，并且仅通过“有限的测试，BitSight发现了影响GPS跟踪器生态系统所有组件的众多缺陷”。

BitSight表示，它于2021年9月9日首次向供应商披露了这些缺陷，在最初做出回应后，MiCODUS未能回复来自BitSight 和CISA的多个后续更新请求。BitSight（7月19日）发布了调查结果。