Хакер обнаружил, что может удаленно выключать двигатели в автомобилях после взлома приложений GPS-трекеров

28 апреля 2019, 16:29

Редакции журнала Motherboard стало известно, что хакер взломал тысячи учетных записей, принадлежащих пользователям двух приложений для GPS-трекеров. Это позволило ему отслеживать местоположения десятков тысяч транспортных средств и даже выключать двигатели в некоторых из них во время движения.

Хакер по имени L&M сообщил изданию, что взломал более 7000 учетных записей iTrack и более 20 000 учетных записей ProTrack, двух приложений, которые компании используют для мониторинга и управления парком транспортных средств с помощью устройств GPS-слежения.

Хакер смог отследить транспортные средства в нескольких странах мира, включая Южную Африку, Марокко, Индию и Филиппины. В некоторых автомобилях программное обеспечение может отключать двигатель, если машина стоит или двигается со скоростью 12 миль в час или медленнее. Это зависит от производителя устройства GPS-слежения.

В результате реверс-инжиниринга приложений Android ProTrack и iTrack, L&M сообщил, что при регистрации всем клиентам предоставляется пароль по умолчанию 123456.

В этот момент хакер сказал, что он грубо взломал «миллионы учетных записей» через API приложения. Затем он сказал, что написал скрипт для попытки входа в систему с использованием этих логинов и пароля по умолчанию. Это позволило ему автоматически взломать тысячи учетных записей, использующих пароль по умолчанию, и извлечь из них данные.

Согласно образцу пользовательских данных, которые хакер предоставил редакции, ему удалось извлечь огромное количество информации о клиентах ProTrack и iTrack, включая: имя и модель устройств GPS-слежения, которые они используют, уникальные идентификационные номера устройств (технически известные как номер IMEI), логины, настоящие имена, номера телефонов, адреса электронной почты и физические адреса. Со слов L&M, для некоторых пользователей он смог получить только часть вышеуказанной информации.

Издательство смогло подтвердить факт утечки данных, поговорив с четырьмя пользователями, включенными в перечень, предоставленный хакером. В результате пользователи подтвердили, что данные оказались реальными.

Моей целью была компания, а не клиенты. Клиенты подвергаются риску из-за компании. Они должны зарабатывать деньги и не хотят защищать своих клиентов.

Я могу создать большую проблему на дорогах во всем мире. Я полностью управляю сотнями тысяч автомобилей, и одним касанием могу остановить у них двигатели.

сообщил изданию хакер. Тем не менее, хакер сказал, что он никогда не глушил двигатели у взломанных автомобилей, поскольку это было бы слишком опасно. Хотя хакер не привел доказательств того, что он может это сделать, представитель Concox (компании, создавшей одну из моделей устройств для GPS-трекинга, которыми пользуются некоторые пользователи ProTrack GPS и iTrack) подтвердили изданию, что клиент может дистанционно выключать двигатель, если скорость машины составляет менее 20 километров в час (около 12 миль в час).

Хакер предоставил скриншот приложения, где видно наличие функции «остановить двигатель».

Рахим Лукман, владелец Probotik Systems, южноафриканской компании, которая использует ProTrack, сообщил изданию в телефонном разговоре, что можно использовать ProTrack для остановки двигателей, если техник включит эту функцию при установке устройств слежения.

ProTrack сделан iTryBrand Technology, китайской компанией, базирующейся в Шэньчжэне. iTrack производится SEEWORLD, тоже китайской компанией, базирующейся в Гуанчжоу.

Как iTryBrand, так и SEEWORLD продают устройства слежения с предоставлением доступа в облачные сервисы как обычным пользователям, так и компаниям, которые затем распространяют оборудование и услуги своим пользователям. Хакер утверждал, что взломал лицевые счета некоторых дистрибьюторов, что позволяет ему контролировать транспортные средства и контролировать счета их клиентов.

На своей странице приложения в Google Play iTrack рекламирует бесплатный демо-счет с именем пользователя «Demo» и паролем «123456».

ProTrack также предоставляет потенциальным клиентам бесплатную демо-версию на своем веб-сайте .

На этой неделе, когда сотрудники издания скачали демо-версию, на сайте появилось предложение сменить пароль, потому что «пароль по умолчанию слишком прост». На прошлой неделе, когда Motherboard впервые установили демо-версию, этого сообщения не было. Более того, в документации к API-интерфейсу ProTrack, также упоминается пароль по умолчанию «123456».

Судя по пользовательскому интерфейсу обоих приложений, похоже, что ProTrack и iTrack используют один и тот же базовый код.

Хакер сообщил, что ProTrack на этой неделе обратился к клиентам через уведомления в приложении и по электронной почте, с просьбой сменить пароль. Но обязательной смены пароля пока не потребовали.

ProTrack отрицал утечку данных, но подтвердил, что просит пользователей менять пароли.

Наша система работает очень хорошо, и смена пароля является нормальным способом обеспечения безопасности аккаунта. Также как и в других системах. Разве с этим есть проблемы? Более того, почему вы обращаетесь к нашим клиентам с этими вопросами ? Почему хакер связался с вами?

прокомментировал представитель ProTrack.

Хакер также сообщил, что связался с компаниями с просьбой о вознаграждении. На скриншоте ответа, который он получил от ProTrack, представитель компании попросил хакера снизить цену:

Если мы заплатим вам, вы дадите нам алгоритм и больше не будете взламывать наши аккаунты? Как мы можем быть уверены в этом? Извините за множество вопросов, мы впервые встречаемся с этой проблемой.

Хакер отказался комментировать свое дальнейшее взаимодействие с компаниями, однако сообщил, что получил все, что хотел.

Они предупредили своих клиентов после взлома, что стало успехом для меня. Теперь они знают что их клиенты в опасности, поэтому в настоящий момент они сфокусированы на повышении безопасности своих услуг.

Источник новости: Motherboard

Все новости мира умных домов - t.me/SprutAI_News или Instagram
Остались вопросы? Мы в Telegram - @Soprut

Хочешь умный дом но нет времени разбираться?
Посмотри примеры работ и выбери себе интегратора.
К списку новостей

Похожие статьи

28 июля 2019, 17:30
FIDO - новый минималистичный умный замок от суббренда Xiaomi
20 мая 2020, 20:08
Aqara представила камеру-шлюз G2H и умный замок P100. Интеграция в Apple HomeKit у обоих устройств и камера для распознавания лиц встроенная в замок.
18 декабря 2019, 18:53
Apple, Amazon, Google и ZigBee Alliance объявили о начале разработки нового стандарта для умного дома
01 февраля 2019, 21:01
Мы продолжаем нашу славную традицию выбирать в конце месяца лучшего автора. В феврале мы снова выберем лучшую статью и лучшую запись в блоге и наградим авторов замечательными подарками от наших спонсоров!
07 июля 2019, 10:09
Nuki Opener устройство для открытие домофонов с Apple HomeKit и Google Home.
11 марта 2020, 18:36
Какие новинки ожидать от iOS 14 и tvOS 14? Циркадное освещение, распознавание лиц и улучшение работы AirPlay 2 - это основные известные на настоящий момент улучшения, которые коснутся в первую очередь Apple HomeKit
17 апреля 2020, 18:42
Грандиозное обновление приложения Eve для HomeKit. Камеры на весь экран, синхронизация настроек и многое другое. Показ камер в каждой комнате,
24 февраля 2020, 17:25
Apple опубликовали документ, разъясняющий логику интеграции маршрутизаторов с поддержкой HomeKit. Пользователям придется перенастраивать свой Дом практически с нуля.
16 февраля 2020, 13:21
Aqara анонсировала новый умный замок N200 Smart Lock, а также обновленную версию своих выключателей
15 апреля 2020, 19:33
Дверной замок Aqara HL - новый умный замок с поддержкой ZigBee и Bluetooth и интеграцией в Apple HomeKit