Следующая новость
Предыдущая новость

Приложения для GPS-мониторинга позволяют следить за чужими авто и удаленно глушить их двигатели

25.04.2019 11:35
Приложения для GPS-мониторинга позволяют следить за чужими авто и удаленно глушить их двигатели

Рекомендуем почитать:

Xakep #241. Взлом игр

  • Содержание выпуска
  • Подписка на «Хакер»

Журналисты издания Vice Motherboard рассказали, что хакер, представившийся как L&M, сообщил им о взломе почти 30 000 аккаунтов в двух Android-приложениях для GPS-мониторинга: iTrack (7000 учетных записей) и ProTrack (20 000 учетных записей).

Приложения для GPS-мониторинга позволяют следить за чужими авто и удаленно глушить их двигатели

В результате взломщик получил доступ не только к информации о местоположении чужих машин, но и возможность контролировать некоторые их функции. Так, в некоторых автомобилях можно даже удаленно заглушить двигатель, если машина движется со скоростью 20 километров в час или медленнее.

Эти приложения вместе с отслеживающими GPS устройствами широко используются во многих странах мира. Например, L&M скомпрометировал аккаунты в Южной Африке, Марокко, Индии, на Филиппинах.

Все началось с того, что L&M отреверсил код ProTrack и iTrack, и обнаружил, что во время регистрации в приложениях всем пользователям по умолчанию присваивается пароль «123456», который затем можно поменять. Применив к API приложений брутфорс, хакер собрал миллионы юзернеймов, а затем написал простой скрипт, который перебирал эти имена пользователей и пытался войти в учетные записи, используя дефолтный пароль. Итогом стала успешная компрометация почти 30 000 аккаунтов.

В распоряжении L&M оказались названия и модели GPS-устройств, их уникальные ID (если точнее, IMEI), имена пользователей, ФИО, телефонные номера, email-адреса и почтовые адреса. При этом хакер признается, что полная информация была доступна далеко не обо всех пользователях. Журналисты Motherboard убедились в правоте слов L&M, связавшись с несколькими пользователями взломанных учтенных записей, и те подтвердили, что предоставленная взломщиком информация была верна.

«Моей целью была компания, а не ее клиенты. Клиенты подвергаются риску из-за компании. Компания хочет делать деньги, но не желает заботиться о безопасности своих пользователей», — объяснил L&M журналистам.

Также хакер рассказал, что с полученным доступом, он мог бы создать крупные проблемы на дорогах во многих городах мира. Дело в том, что L&M получил возможность не просто шпионить за пользователями и их машинами, но и управлять некоторыми автомобилями удаленно. По его словам, таких доступных машин насчитывается несколько тысяч.

Эти заявления взломщика подтвердили представители компании Concox, которая разрабатывает устройства, совместимые с ProTrack и iTrack. Они сообщили, что заглушить двигатель автомобиля удаленно действительно возможно, если авто движется со скоростью не более 20 км/ч. То же самое говорят и специалисты южноафриканской компании Probotik Systems, которая работает с ProTrack. Они объясняют, что возможность заглушить двигатель удаленно доступна в том случае, если ее активировали при установке GPS-девайса.

На скриншоте ниже в интерфейсе приложения действительно можно увидеть опцию stop engine («заглушить двигатель»).

Приложения для GPS-мониторинга позволяют следить за чужими авто и удаленно глушить их двигатели

Приложение ProTrack разрабатывает китайская компания iTryBrand Technology, тогда как за созданием iTrack стоит другая китайская фирма, SEEWORLD. Обе компании также занимаются продажей аппаратных решений и имеют облачные платформы, через которые их продуктами могут напрямую управлять как сами пользователи, так и компании, занимающиеся продажей оборудования и услуг. L&M утверждает, что также взломал некоторые учетные записи таких дистрибьюторов.

Журналисты Motherboard отмечают, что iTrack рекламирует бесплатный демо-аккаунт с именем Demo и паролем 123456 прямо на своей странице в Google Play. ProTrack тоже предоставляет потенциальным клиентам бесплатную демо-версию на своем сайте. И если на прошлой неделе журналисты опробовали демо и не увидели никаких предупреждений, то теперь на сайте появляется предложение сменить пароль, потому что текущий слишком прост.

Хуже того, в документации для API ProTrack тоже встречается упоминание пароля 123456 по умолчанию, и приложения, похоже, строятся на базе одного и того же исходного кода.

На этой неделе представители ProTrack попросили всех своих пользователей сменить пароли (пока не в принудительном порядке). При этом в компании отрицают факт компрометации и заявляют, что смена паролей – это обычная практика и нормальный способ обеспечения безопасности аккаунтов. Разработчики iTrack, в свою очередь, пока хранят молчание.

L&M утверждает, что он уже связывался с представителями ProTrack и попросил у компании вознаграждение за обнаруженную брешь. Он показал журналистам отрывки переписки, на которых видно, как разработчики просят хакера снизить цену, а также задают вопросы: «Если мы заплатим, вы предоставите нам инструмент и больше не будете взламывать наш аккаунт? Как мы можем быть в этом уверены? Простите за такое количество вопросов, но мы впервые сталкиваемся с подобной катастрофой».

Хакер резюмирует и говорит, что уже получил, что хотел:

«После моей атаки (sic) они предупреждены, и для меня это успех. Вынудить их позаботиться о безопасности. Теперь они знают, что их клиенты подвергаются риску, а значит, начали уделять безопасности своих сервисов чуть больше внимания».

Источник

Последние новости