Подписка

Исследователь мог следить  за чужими авто и удаленно глушить их двигатели с помощью приложения для GPS-мониторинга

25/04/19

Журналисты издания Vice Motherboard рассказали, что хакер, представившийся как L&M, сообщил им о взломе почти 30 000 аккаунтов в двух Android-приложениях для GPS-мониторинга: iTrack (7000 учетных записей) и ProTrack (20 000 учетных записей).

В результате взломщик получил доступ не только к информации о местоположении чужих машин, но и возможность контролировать некоторые их функции. Так, в некоторых автомобилях можно даже удаленно заглушить двигатель, если машина движется со скоростью 20 километров в час или медленнее.

Эти приложения вместе с отслеживающими GPS устройствами широко используются во многих странах мира. Например, L&M скомпрометировал аккаунты в Южной Африке, Марокко, Индии, на Филиппинах.

Все началось с того, что L&M отреверсил код ProTrack и iTrack, и обнаружил, что во время регистрации в приложениях всем пользователям по умолчанию присваивается пароль «123456», который затем можно поменять. Применив к API приложений брутфорс, хакер собрал миллионы юзернеймов, а затем написал простой скрипт, который перебирал эти имена пользователей и пытался войти в учетные записи, используя дефолтный пароль. Итогом стала успешная компрометация почти 30 000 аккаунтов.

В распоряжении L&M оказались названия и модели GPS-устройств, их уникальные ID (если точнее, IMEI), имена пользователей, ФИО, телефонные номера, email-адреса и почтовые адреса. При этом хакер признается, что полная информация была доступна далеко не обо всех пользователях. Журналисты Motherboard убедились в правоте слов L&M, связавшись с несколькими пользователями взломанных учтенных записей, и те подтвердили, что предоставленная взломщиком информация была верна.

Также хакер рассказал, что с полученным доступом, он мог бы создать крупные проблемы на дорогах во многих городах мира. Дело в том, что L&M получил возможность не просто шпионить за пользователями и их машинами, но и управлять некоторыми автомобилями удаленно. По его словам, таких доступных машин насчитывается несколько тысяч.

Эти заявления взломщика подтвердили представители компании Concox, которая разрабатывает устройства, совместимые с ProTrack и  iTrack. Они сообщили, что заглушить двигатель автомобиля удаленно действительно возможно, если авто движется со скоростью не более 20 км/ч. То же самое говорят и специалисты южноафриканской компании Probotik Systems, которая работает с ProTrack. Они объясняют, что возможность заглушить двигатель удаленно доступна в том случае, если ее активировали при установке GPS-девайса.

Приложение ProTrack разрабатывает китайская компания iTryBrand Technology, тогда как за созданием iTrack стоит другая китайская фирма, SEEWORLD. Обе компании также занимаются продажей аппаратных решений и имеют облачные платформы, через которые их продуктами могут напрямую управлять как сами пользователи, так и компании, занимающиеся  продажей оборудования и услуг. L&M утверждает, что также взломал некоторые учетные записи таких  дистрибьюторов.

Журналисты Motherboard отмечают, что iTrack рекламирует бесплатный демо-аккаунт с именем Demo и паролем 123456 прямо на своей странице в Google Play. ProTrack тоже предоставляет потенциальным клиентам бесплатную демо-версию на своем сайте. И если на прошлой неделе журналисты опробовали демо и не увидели никаких предупреждений, то теперь на сайте появляется предложение сменить пароль, потому что текущий слишком прост.

Хуже того, в документации для API ProTrack тоже встречается упоминание пароля 123456 по умолчанию, и приложения, похоже, строятся на базе одного и того же исходного кода.

stop engine

Темы:ОтрасльНовостиумный автомобиль

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
Стать автором